Académique Documents
Professionnel Documents
Culture Documents
Audit Interne Elisabeth Bertin PDF
Audit Interne Elisabeth Bertin PDF
Collection Finance
S o u s l a d i r e c ti o n d e
lisabeth Bertin
Laudit interne,
fonction cl de lentreprise
a
Florence Fradin
Eustache Ebondo wa
Mandzila
Francis Lamarque
ric Lamarque
Christophe Godowski
Christine Pochet
Louis Vaurs
Franois Vidaux
-:HSMCLC=ZX^\U\:
Audit
interne
Julie Tixier
Alessandro Reitelli
Nol Pons
Audit interne
Patricia Coutelle-Brillet
lisabeth Bertin
lisabeth Bertin
Christian Bertheuil
Valrie Berche
Avec la contribution
de :
Enjeux
et pratiques
linternational
45
53970_bertin_188.indd 1
14/09/07 16:33:43
Audit interne :
enjeux et pratiques
linternational
Audit interne :
enjeux et pratiques
linternational
Prface de Louis Vaurs
Groupe Eyrolles
61, bd Saint-Germain
75240 Paris cedex 05
www.editions-eyrolles.com
Prface
audit interne, dfini officiellement comme une activit, est avant tout
une fonction de lorganisation et cest avec des ressources appropries
de celle-ci que laudit interne est susceptible dapporter le plus de valeur
ajoute. Laudit interne doit vivre lentreprise, tre imprgn de sa culture, se
sentir concern par tout ce qui la touche, ses succs comme ses difficults ou
ses checs. En consquence, lexternalisation du service daudit interne,
association insolite de termes contradictoires diraient daucuns, est bannir. En revanche, le recours ponctuel des ressources et des comptences
externes, lorsque la ncessit sen fait sentir, est recommander.
Groupe Eyrolles
Contrairement une ide reue, laudit interne nest pas une fonction
comptable et financire ou du moins nest pas que cela. En effet, sa mission
consiste analyser les risques, tous les risques, quils soient oprationnels,
financiers ou de conformit, susceptibles daffecter la ralisation des objectifs
fixs par lorganisation, puis sassurer quil existe un dispositif de contrle
interne parfaitement adapt sa situation et, si tel nest pas le cas, faire
toutes les propositions ncessaires pour y pourvoir.
Le problme de son rattachement fait lobjet, depuis des annes, de grandes
controverses. Dans la mesure o laudit interne sest, au fil des ans, loign
du domaine comptable et financier, le rattachement la direction financire
doit tre abandonn au profit dun rattachement la Direction gnrale.
Cette volution peut tre clairement observe en France, o 77 % des services daudit interne sont rattachs la direction gnrale ou au prsident du
6 Audit interne
Si laudit interne est une profession norme, elle nest pas rglemente, sauf
dans quelques pays et parfois pour certains secteurs dactivit de ces pays. Il
nen demeure pas moins vrai que certaines lois peuvent avoir indirectement
une influence considrable sur laudit interne. Ce fut vrai en particulier avec
la loi Sarbanes-Oxley (SOX) de juillet 2002, qui conduisit beaucoup de services daudit interne, appartenant des socits cotes New York,
recentrer leurs activits sur des aspects de contrle interne comptable et
financier au dtriment de tous les autres. Ce phnomne conjoncturel ne
devrait pas perdurer.
Groupe Eyrolles
Prface 7
Sur le plan international, grce certes aux initiatives de lIIA1, mais aussi
celles des organisations telles que lECIIA2 pour les pays europens et du
bassin mditerranen ou lUFAI3 pour les pays francophones, laudit interne
a fait de formidables avances, mais tous les pays ne le pratiquent pas de la
mme faon et les comparaisons sont parfois difficiles, mme entre les pays
considrs comme les plus avancs.
Comme en toute chose, il ny a pas de vrit absolue sur la faon dont laudit
interne doit tre pratiqu et bien souvent, lidal, cest le possible. En consquence, les entreprises qui ont des filiales ltranger doivent viter tout
dogmatisme. Et tout en restant fermes sur les grands principes, elles doivent
imprativement tenir compte des cultures, des usages, de la ralit de la
corporate governance et de la faon dont le rle de laudit interne est peru.
Ce nest quen agissant avec prudence et doigt que les meilleures pratiques
en audit interne y seront peu peu implantes.
Groupe Eyrolles
Louis Vaurs,
Dlgu Gnral de lIfAcI
1. Institute of Internal Auditors : association internationale qui fdre les instituts daudit
interne nationaux.
2. European Confederation of Institutes of Internal Auditing : Confdration Europenne des Instituts dAudit Interne.
3. Union Francophone de lAudit Interne.
Remerciements
es remerciements les plus vifs sadressent lIfAcI1, plus particulirement Louis Vaurs, dlgu gnral de lIfAcI, ainsi qu
Florence Fradin et Batrice Ki-Zerbo, respectivement ancienne et actuelle
directrice de la recherche lIfAcI, pour laccueil chaleureux quils ont
rserv ce projet douvrage, ainsi que pour leur soutien sans faille.
Groupe Eyrolles
lisabeth Bertin
Sommaire
Prface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Remerciements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Introduction gnrale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Partie I
Lorganisation et la conduite de laudit interne
en environnement international
Chapitre 3
Chapitre 4
Groupe Eyrolles
Chapitre 5
10 Audit interne
Chapitre 6
Chapitre 7
Groupe Eyrolles
Introduction gnrale
et ouvrage collectif a pour objectif de donner une vision aussi exhaustive que possible des spcificits et des enjeux de laudit interne en
contexte international.
Groupe Eyrolles
12 Audit interne
Groupe Eyrolles
Introduction gnrale 13
Groupe Eyrolles
14 Audit interne
Le douzime et dernier chapitre dcrit la dmarche, les indicateurs ncessaires ltablissement de laudit stratgique, les risques lis la ralisation de ce
type daudit, avant de conclure sur la ncessaire mise en place dun vritable
rfrentiel partag.
Concernant la bibliographie, la totalit des rfrences cites est reprise en fin
douvrage.
Groupe Eyrolles
Partie I
Lorganisation et la conduite
de laudit interne
en environnement international
Chapitre 1
Organisation et mthodologie
de laudit interne
PAR EUSTACHE EBONDO WA MANDZILA1
Professeur Euromed Marseille
cole de Management
Groupe Eyrolles
Groupe Eyrolles
Mais cette extension du concept et llargissement de son champ dapplication dans des domaines qui ne lui taient pas familiers nont pas toujours
contribu au renforcement de limage de laudit et sa clarification. Toutefois, quelques critres permettent de mieux saisir la notion daudit. Ainsi, il
peut tre apprhend selon les critres statutaires, gographiques et selon
lobjectif poursuivi.
Groupe Eyrolles
Mais cette diversit daudits conduit envisager laudit sous langle territorial
ou gographique. Ainsi, selon le critre gographique, on distingue laudit
interne de laudit externe. Ce dernier est beaucoup plus connu sous le nom
daudit comptable et financier. Il est exerc par des experts indpendants de
lentit auditer. En revanche, laudit interne, objet de cet ouvrage, est ralis par des salaris de lentit audite. Il convient de prciser, dans un premier temps, la notion et les missions de laudit interne avant daborder, dans
un deuxime temps, les fondements thoriques et pratiques de la cration
dun service daudit interne.
1. Laudit financier peut ne pas avoir pour objectif la certification des comptes. Cest prcisment le cas lorsque est confie un professionnel la mission dexprimer une opinion sur les tats financiers, la situation et les rsultats financiers, par rfrence des
normes, dans le contexte par exemple dune acquisition, dune demande de crdit.
2. Ce schma est une adaptation de la Direction gnrale de lAdministration et de la
Fonction Publique et Inspection Gnrale de lIndustrie et du Commerce du guide
interne Pour une bonne pratique de laudit (date non indique).
Finalits
DIAGNOSTIC
ET
PRESCRIPTION
VALUATION
GLOBALE
Politiques
Stratgies
Objectifs
EFFICACIT
Moyens
humains
Moyens
financiers
Moyens
matriels
Structures
Fonctions
Effectifs
Capitaux
Crdits
Budgets
Organisations
Systmes
quipements
AUDIT
OPRATIONNEL
OPRATIONS
Tableaux
de bord
ACTION
BUT
AUDIT
FINANCIER
TYPOLOGIE
LInstitute of Internal Auditors (IIA)1, dont lune des missions est dlaborer
les normes et les pratiques professionnelles, a donn en 1999 une dfinition
de laudit interne, adapte par lIfAcI2 en ces termes : Laudit interne est
1. LIfAcI est le chapitre franais de lIIA.
2. La dfinition adapte de laudit interne a t approuve par le conseil dadministration
de lIfAcI, en 2000.
Groupe Eyrolles
Groupe Eyrolles
partir des trois objectifs du contrle interne qui viennent dtre indiqus,
peuvent tre associes diffrentes missions : audit oprationnel, audit financier et enfin audit de la stratgie.
1. Il est aussi vrai que laudit interne peut prconiser la mise en place dun contrle
interne qui nexiste pas. Sur la dfinition et les rfrentiels du contrle interne, voir la
contribution de Florence Fradin et Louis Vaurs, Une comparaison des principaux
rfrentiels de contrle interne (p. 53).
2. Acronyme de Committee of Sponsoring Organizations of the Treadway Commission,
i.e. le comit qui a conu ce rfrentiel.
La mission daudit oprationnel est plus tourne vers lefficacit de lorganisation et le respect des procdures crites mises en place. Lauditeur interne
doit procder un examen systmatique des activits ou des processus dune
entit en vue dvaluer lorganisation et ses ralisations et identifier les pratiques juges non conomiques, improductives et inefficaces, enfin de proposer des solutions damlioration et de sassurer ventuellement de leur suivi.
Dans le cadre dune mission daudit financier, oriente sur la fiabilit des
informations financires et la protection des actifs matriels, humains et
financiers, lauditeur interne doit sassurer, en relation avec les auditeurs
externes, que les procdures de contrle interne comptables sont fiables. Il
ne sagit nullement ici dune mission de certification des comptes.
ces deux premires missions traditionnelles sajoute une mission daudit de
la stratgie. Ici, lauditeur doit identifier les risques associs aux objectifs et
aux grandes orientations stratgiques dfinies par lorganisation et valuer la
conformit ou la cohrence densemble entre ce qui avait t dit et ce qui est
fait dans le but dapprcier la performance des ralisations.
En outre, ces trois missions, Renard (2006) associe quatre niveaux de contrle
correspondant aux ges de laudit interne. Ainsi, laudit de conformit ou de
rgularit consiste vrifier la bonne application des rgles, procdures,
descriptions de postes, organigrammes, systmes dinformation En bref, il
compare la rgle et la ralit, ce qui devrait tre et ce qui est .
Pour sa part, laudit defficacit ne se contente plus de vrifier la conformit
aux lois et aux rglements, aux normes. Il doit sassurer que les procdures
mises en place sont conformes au rfrentiel, mais, et surtout, permettent
datteindre les objectifs pralablement dfinis par lorganisation.
Groupe Eyrolles
Groupe Eyrolles
cessions internes offre la mme explication. En effet, pour la thorie conomique des cessions internes, le recours des prix des cessions internes et/ou
des prix de transfert met en vidence ce que cote lentreprise le fait de
rpondre ses besoins par une solution interne. Selon Bouquin (2001), lorsque les entits ont la libert dacheter ou de vendre aussi bien lextrieur
qu lintrieur, les prix internes jouent un rle dterminant dans lobtention et lutilisation des ressources . Toutefois, Bouquin (2001) distingue
linfluence que la facturation interne peut avoir sur lallocation des ressources
(sadresser tel fournisseur plutt qu tel autre), de limpact, plus problmatique quelle peut avoir sur lamlioration de la performance des cots. Pour
lui, la perspective de devoir vendre en interne, sous concurrence extrieure,
incite les partenaires de lamont cooprer avec ceux de laval. La facturation
interne apparat ds lors comme un dispositif de renforcement de la gestion
par processus . Nanmoins, lorsquil sagit de tarifer des cessions entre
tablissements dune socit unique, limpact sur les comptes sociaux est nul.
En revanche, sil sagit des prix de transfert pratiqus entre des filiales dun
groupe juridiquement distinctes, lincidence des cessions sur les comptes de
chacune des filiales est vidente en termes de fiscalit notamment.
Groupe Eyrolles
thorie de lagence a donn lieu de nombreux dveloppements sur la gouvernance des entreprises (Charreaux, 1997 et 2000) qui tendent intgrer
aussi laudit interne comme un mcanisme de gouvernance de lentreprise.
En effet, parmi les conflits dintrts susceptibles de slever entre les actionnaires et les dirigeants, lapproche actuelle de la gouvernance de lentreprise
semble privilgier la rsolution du conflit n du dsquilibre informationnel
(asymtrie dinformation) existant entre lagent et le principal. Laudit
interne, rattach au comit daudit (lorsquil existe), a (comme laudit
externe ou lgal) un rle fondamental jouer au sein de la gouvernance de
lentreprise. Pour Gramling et al. (2004), la gouvernance de lentreprise
compte quatre composantes : lauditeur externe, le comit daudit, le management la fonction daudit. La contribution de laudit interne en tant que
fonction participant la gouvernance peut tre apprcie via les relations
quelle entretient avec les trois autres acteurs responsables de la gouvernance
de lentreprise. La fonction daudit interne apparat comme une fonction
ressource. Toutefois, les auteurs reconnaissent que la nature et la valeur de
laudit interne comme fonction ressource sont contingentes de la qualit de
la fonction daudit interne. La gouvernance de lentreprise renforce lindpendance de lauditeur interne (Brody et Lowe, 2000). Le rle de laudit
interne dans la gouvernance de lentreprise peut sapprcier deux niveaux :
rduction des asymtries des informations et management des risques.
Groupe Eyrolles
Concernant le premier niveau, il est admis que par rapport aux actionnaires,
le dirigeant disposait, outre linformation comptable et financire, dune
information complte, issue de la comptabilit de gestion et du rapport
daudit interne dont il tait le seul destinataire. Lexistence dun comit
daudit1, destinataire du rapport de lauditeur interne, apparat ainsi comme
la courroie de transmission entre les auditeurs non seulement externes, mais
aussi internes et le conseil dadministration. Cest grce ce rattachement
que laudit interne peut contribuer la rduction des asymtries dinformation dans un gouvernement dentreprise.
Laudit interne a aussi un rle cl jouer au niveau du management des risques dentreprise et surtout dans le processus dlaboration du rapport sur le
contrle interne exig par la loi sur la scurit financire (LSF) aux socits
cotes. En effet, il a notamment pour mission dvaluer le systme de
contrle interne. ce titre, il est le mieux mme dalimenter le conseil
dadministration en informations sur les faiblesses du systme de contrle
1. Voir aussi dans cet ouvrage la contribution de Christophe Godowski, Lobjectivit
de lvaluation de la corporate governance par laudit interne (p. 137).
interne ou sur les zones des risques susceptibles de nuire latteinte des
objectifs stratgiques, oprationnels, informationnels et de conformit.
Gramling et Myers (2006) ont mis en vidence le rle jou par laudit
interne dans le management des risques dentreprise.
Selon ces deux auteurs, lauditeur interne exerce une influence sur cinq de
ses composantes. Il donne une assurance raisonnable quant au processus de
management des risques, que les risques sont correctement valus, que le
processus de management des risques a t bien valu, que le reporting sur
les risques majeurs a t correctement tabli et quun bilan sur la gestion des
principaux risques a t dress. Selon les rsultats de leur tude figurant dans
le tableau n 1 ci-aprs, dans lensemble, laudit interne ne joue, lheure
actuelle, quun rle modr dans le management des risques dentreprise. Ce
rle est appel se dvelopper, notamment pour valuer le processus de
management des risques de lentreprise.
Tableau n 1 - Les principaux rles de laudit interne dans le management
des risques dentreprise
Responsabilit
actuelle
Responsabilit idale ou
souhaite
3,10
3,80
3,00
3,60
3,17
3,82
3,09
3,70
3,19
3,76
Les rsultats figurant dans le tableau n 2 suivant semblent lgitimer les rles
jous par laudit interne dans la gestion des risques dentreprise, voire les renforcer dans les diffrents domaines.
Groupe Eyrolles
Responsabilit idale
3,38
3,50
2,84
3,11
2,47
2,75
2,87
3,10
2,49
2,73
2,88
3,27
2,23
2,51
Groupe Eyrolles
La taille de lentreprise
La taille de lentreprise est souvent associe au chiffre daffaires ou aux effectifs. Le nombre de salaris est le critre qui, de loin, dtermine la cration
dun service daudit interne. On considre gnralement quun service
daudit interne simpose raison dun auditeur interne pour mille salaris
environ (Van Cutsem, 1999). Il nest pas rare de rencontrer un service
daudit interne dans des entreprises disposant de moins de mille salaris.
Dans cette hypothse, outre leffectif, cest surtout limportance relative et la
nouveaut des oprations qui seront prises en compte pour dcider de la
cration dun service daudit interne. Dans les autres cas, le recours un
audit externe savre plus judicieux.
La dispersion gographique
Mme si la cration dun service daudit interne est principalement dicte
par la taille, dans un groupe1, la dispersion ou lloignement gographique
des filiales par rapport au sige justifie la cration dun service daudit interne
au niveau du groupe, voire des filiales. Les missions attribuer au service
daudit groupe peuvent tre les suivantes :
sassurer que les procdures sont mises en place de faon homogne tant
au niveau du sige quau niveau des entits filiales ;
sassurer que les dcisions prises au niveau du sige sont correctement
appliques au niveau des filiales ;
sassurer que les informations en provenance des mmes filiales (les informations dcoulant dobligations lgales, les informations additionnelles,
i.e. reporting et linformation collecte) sont fiables ;
sassurer que les filiales respectent les lois et les rglements en vigueur dans
les pays o elles sont implantes.
En dfinitive, les services daudit interne dans les grandes entreprises nationales et dans les grands groupes internationaux ont pour mission de garantir
lunit de commandement et la cohrence globale des politiques et des stratgies entre le sige et les diffrents centres de responsabilit et/ou les entits
filiales du groupe. Lefficacit de laudit interne dans les grandes entreprises
nationales et dans les groupes internationaux dpend de lorganisation du
service daudit et de lapproche mthodologique utilise.
1. Selon Haffen (1999), un groupe est un ensemble de socits ayant chacune leur autonomie juridique mais tenues sous la dpendance dune socit tte de pont, dite
socit mre .
2. On y retrouve une quipe dauditeurs au niveau du sige qui effectuent des dplacements dans les villes ou lentreprise est implante. Des services daudit interne peuvent
tre aussi crs au sein de ses diffrentes implantations.
Groupe Eyrolles
La problmatique de laudit interne des filiales ltranger nest pas trs diffrente de ce qui se passe au niveau des services ou des filiales mtropolitaines2.
Nanmoins, des spcificits culturelles, linguistiques, juridiques, comptables
et fiscales (Haffen, 1999) ainsi que lloignement gographique des filiales de
la maison mre, influencent lorganisation des services daudit interne et dans
une moindre mesure la mthodologie de laudit.
Groupe Eyrolles
Direction gnrale
Chef de mission
ou superviseur
Chef de mission
ou superviseur
Chef de mission
ou superviseur
Auteurs confirms
Auteurs confirms
Auteurs confirms
Assistants
Assistants
Assistants
Groupe Eyrolles
souvent, laudit agit la demande, sur des domaines ponctuels et prcis, exigeant un niveau dexpertise lev.
Groupe Eyrolles
Filiale 1
Service central
d'audit
Audit interne
Filiale 2
Audit interne
Normes
Formation
Audit de l'audit
Missions spcifiques
La ralisation des missions assignes laudit interne dpend aussi du positionnement hirarchique de la fonction dans lorganigramme du groupe.
Groupe Eyrolles
Groupe Eyrolles
comit serait de nature apaiser les tensions qui auraient pu apparatre entre
lauditeur externe et le dirigeant, dans une relation dagence pure, et instaurerait un climat de confiance entre les principaux acteurs de la gouvernance.
Groupe Eyrolles
Effectifs
2,86
Au P-DG
11
31,43
la direction gnrale
13
37,14
2,86
Au secrtariat gnral
2,86
2,86
20,00
Au comit daudit
2,86
la direction Organisation
2,86
Autres
2,86
35
100 %
Total
Groupe Eyrolles
1. Ces normes sont adoptes et parfois adaptes par chaque chapitre national de lIIA.
Cest le cas en France de lIfAcI.
Groupe Eyrolles
Groupe Eyrolles
Groupe Eyrolles
Les phases
Prparer l'audit :
dcouvrir et acqurir
une connaissance gnrale
de l'entreprise
Auditer
Raliser l'audit
Restituer l'audit :
rendre compte des rsultats
Normes ou pratiques
gnralement admises
Techniques utilises
Prise de connaissance de la
documentation externe et
interne l'entreprise
Comparaison interentreprise
Entretien avec les responsables
valuation prliminaire de
l'existant
Mise au point du programme
d'intervention
Normes de travail
Vrifications terrain
Supervision
Validation des travaux
et rsultats
Normes de rapport
Normes de communication
de rsultats
Runion de clture
Prsentation du pr-rapport
et commentaires, objections
Rdaction et envoi du
rapport final
Mise en plan du plan
d'action ou suivi de la
mise en oeuvre des
recommandations
Une mission daudit se prpare. Mais auparavant, lauditeur doit avoir reu
lordre ou le mandat deffectuer la mission. Le document qui fait dclencher
la mission daudit sintitule un ordre de mission pour lauditeur interne ou
une lettre de mission pour lauditeur externe. Il sagit gnralement dun
document dinformation court (une page) qui indique le prescripteur, le
destinataire et lobjet de la mission, les objectifs gnraux, le lieu et primtre
de la mission, la date du dbut et de la fin de la mission.
Phase de prise de connaissance de lenvironnement et de conscience
des risques ventuels
Cette tape, qui conditionne le succs ou lchec de la mission, prsente un
double objectif : prendre connaissance de lenvironnement et du domaine
auditer et prendre conscience des risques ventuels.
Groupe Eyrolles
1. Il sagit de reprendre les questions que lauditeur se pose sur lentit auditer afin de se
familiariser avec elle, de permettre une orientation de la mission. La mise en uvre du
questionnaire de prise de connaissance se fait par interview, par analyse du systme
dinformation, des procdures, des documents et par observation.
Groupe Eyrolles
Entit/
domaine/
opration
Objectifs
de
contrle
Forces et
faiblesses
apparentes :
F/f
valuation
prliminaire
des risques
R1
f (faiblesse)
lev
R2
moyen
R3
faible
Risques
Bonnes
pratiques
Groupe Eyrolles
Le tableau des risques permet de cerner les objectifs daudit retenus, quil
conviendra de vrifier ultrieurement sur le terrain.
1. Ce document tait autrefois appel tableau des forces et des faiblesses apparentes
(TFfA) et prsente plusieurs variantes selon les auteurs. Les quatre premires colonnes
constituent le rfrentiel pour tout auditeur.
Finalits
Objectifs de CI
du
stade/opration/
lment
Bonnes
pratiques
Risques
Objectifs
Empchements
Risques que
finalit ne soit
pas atteinte
Scnarios de survenance
Que peut-il se passer ?
Points de contrle
tapes cls du CI
Observables
Comment
savoir ce qu'il
en est ?
Impact
risque si
tape cl
dfaillante/
dficiente
Bonnes
pratiques
moyens du CI,
ressources
Consquences
Qu'est-ce que cela peut faire ?
Groupe Eyrolles
par une runion au cours de laquelle le droulement prvisionnel de la mission daudit (runions intermdiaires, rdaction du rapport), sans oublier la
logistique, devra tre rappel.
Le travail terrain : les vrifications
Cest la partie la plus rptitive de la fonction. Elle fait appel des techniques
(interviews, observation physique, sondages, examen analytique, narration,
flow chart , grille danalyse des tches) et des moyens (questionnaire de
contrle interne, tableaux de risques, feuille de test ou de couverture, feuille
de rvlation et danalyse des problmes). Concrtement, lauditeur sur le
terrain va procder des tests et des observations labores laide des
questionnaires et au cours desquels il met en uvre les feuilles de couverture
ou feuille de test. Celle-ci doit indiquer lobjectif et la priode du test, les
tests raliser, les conclusions sur chaque lment contrl et la conclusion
gnrale. Chaque dysfonctionnement constat dbouche sur ltablissement
dune feuille de rvlation et danalyse des problmes (FRAP) encore appele Feuille des risques , ou Feuille dvaluation du contrle interne ou
Feuille des risques rfrentiels .
La feuille des risques est un document trs utilis par les services daudit des
entreprises nationales et internationales pour synthtiser les informations
relatives un risque ou un dysfonctionnement constat. Le schma n 6 ciaprs prsente la structure dune FRAP.
Papier de travail
FRAP n
Groupe Eyrolles
sur les lments de preuve recueillis. Chaque FRAP est supervise par le chef
de mission qui lapprcie, situe sa place et son degr dimportance par rapport la mission. Les validations individuelles et successives sont suivies de
validations gnrales en fin de mission (la runion de clture).Tous les documents utiliss par lauditeur interne durant la phase de ralisation, appels
papiers de travail, sont rfrencs. Lensemble des FRAP aprs reclassement
constitue l ossature du rapport daudit.
La phase de restitution des rsultats de laudit : le rapport daudit
Groupe Eyrolles
Toute mission daudit sachve par la rdaction dun rapport. Cest pourquoi
au cours de cette phase, il convient dobtenir ladhsion des membres de
lquipe dauditeurs et des audits impliqus dans la mission lors de la runion de clture.
Celle-ci constitue un moment privilgi puisquelle offre aux auditeurs
loccasion de prsenter les conclusions gnrales de la mission et de recueillir
les objections ou les prcisions, voire les contestations des audits qui leur
seront utiles pour rdiger le rapport daudit.
Ce dernier est prvu par la norme 2 440 de laudit interne1, qui nonce clairement que cest au responsable quincombe la charge de communiquer les
rsultats de laudit. Ce rapport fait apparatre les mentions suivantes :
une page de garde comprenant le titre complet de la mission, la date, les
auditeurs ayant particip la mission ;
lordre de mission, qui doit tre plac en tte du rapport ;
le sommaire ;
une note de synthse de deux trois pages permettant aux destinataires
principaux du rapport davoir lessentiel des conclusions du travail
daudit, date et signe par le chef de mission ;
le rapport proprement dit ;
les annexes.
En pratique
Gnralement, le rapport daudit comporte une prsentation de lentit
(lieu, organigramme, description des procdures appliques) ; une analyse de lorganisation et du fonctionnement (problmes structurels rencontrs, analyse critique des tches/processus/fonctions) ; une analyse
conomique et financire mettant en vidence les ventuelles inexactitudes
ou irrgularits et enfin une opinion ou un jugement sur les dysfonctionnements par cycle ou opration qui doivent tre suivis des conclusions et des
recommandations.
Groupe Eyrolles
Caractristiques de lchantillon
Ces caractristiques seront apprcies travers quatre points : la population
interroge, les entreprises de lchantillon, les rpondants au questionnaire
adress et la taille des entreprises de lchantillon.
Lenqute a t effectue de janvier mars 2007 auprs des entreprises
capitaux privs et semi-publics ayant des implantations tant en France qu
ltranger (filiales).
Le questionnaire a t adress quinze grands groupes internationaux disposant de service daudit interne appartenant aux secteurs conomiques suivants :
grande distribution, automobile, tlcommunications, prestations de services
aux entreprises, assurances, banques, transports. Ladministration du questionnaire sest droule par lenvoi dun questionnaire par courrier lectronique.
En dpit de relances, seules quatre entreprises ont rpondu, ce qui correspond
un taux de retour de 26,70 %. Les secteurs reprsents sont les suivants :
grande distribution : 1 ;
automobile : 1 ;
tlcommunications : 1 ;
prestations de services aux entreprises : 1.
Socit C
Socit O
220 000
191 000*
47 000
12 000
25 milliards
deuros
51,7 milliards
deuros
44 milliards
deuros
Groupe Eyrolles
Questions
Estimez-vous que les lois LSF et SOX ont eu
une grande influence sur la fonction daudit
interne ?
Si oui, cette influence se situe-t-elle au niveau :
- de la pratique daudit ?
- des missions ?
- des moyens ?
Lauditeur interne participe-t-il directement dans
votre socit, au processus dlaboration du rapport sur le contrle interne ?
oui
oui
oui
non
oui
non
non
oui
non
oui
oui
non
non
oui
oui
oui
non
oui
oui
Groupe Eyrolles
Selon ce tableau, les lois LSF et SOX ont eu une grande influence sur la
fonction daudit interne au niveau des missions notamment. En revanche,
pour un auditeur seulement sur trois, cette influence se situe au niveau de la
pratique et des moyens. En dautres termes, les lois nont pas eu dimpact sur
la pratique daudit et sur les moyens offerts aux auditeurs internes.Trois auditeurs sur quatre reconnaissent que lauditeur interne participe directement au
processus dlaboration du rapport sur le contrle interne. Cette situation
devrait influer sur le rattachement hirarchique de lauditeur interne.
Le rattachement hirarchique de la direction de laudit interne
Le positionnement hirarchique est le meilleur indicateur pour apprcier le
rle et limportance et par consquent le pouvoir ou linfluence de laudit
interne dans une entreprise.
Une direction daudit interne peut tre rattache, comme il a t dj mentionn, la direction gnrale ou au conseil dadministration et/ou au
comit daudit, soit enfin une direction oprationnelle. Ce dernier cas est
rare dans les grands groupes1. Le tableau n 7 fournit quelques lments de
rponse. Pour un directeur daudit interne sur quatre, la direction de laudit
est rattache hirarchiquement au prsident du conseil dadministration ou
de surveillance ; une direction de laudit interne sur quatre est galement rattache hirarchiquement au comit daudit. Il en est de mme pour la direction gnrale. Pour deux auditeurs interrogs sur quatre (50 %), la direction
de laudit interne est hirarchiquement rattache au P-DG. Le rattachement
de laudit interne la direction gnrale du groupe lui confrerait des fonctions plus tendues que la simple vrification dlgue la filiale du contrle
interne. Son action peut stendre des audits defficacit des fonctions et
des missions dappui aux filiales sur diffrents sujets.
La tendance actuelle dans les grands groupes internationaux franais est au
rattachement de la direction de laudit interne au conseil dadministration ou
au comit daudit. Lobjectif clairement affich est de renforcer le rle du
conseil dadministration en le dotant des moyens de contrle de laction
managriale. Cest implicitement aussi une faon de reconnatre lauditeur
interne comme un acteur cl et majeur de la gouvernance dentreprise. Plus
le groupe est important en termes de taille, plus laudit interne sera renforc
et tendra devenir le ciment principal de contrle du groupe (Haffen, 1999).
Questions
Le service daudit central est-il rattach
hirarchiquement au prsident du conseil
dadministration ou du conseil de
surveillance ?
Si non, est-il rattach :
- au comit daudit ?
- au DG ?
- au P-DG ?
Socit
C
Socit
F
Socit
O
Socit
R
oui
non
non
non
oui
non
oui
non
non
oui
non
oui
non
Groupe Eyrolles
Groupe Eyrolles
Questions
oui
oui
oui
oui
oui
oui
oui
oui
non
oui
non
oui
Si non, les services daudit interne sont-ils clats par pays ou zone ?
NR*
NR
NR
non
oui
oui
non
non
oui
non
NR
NR
NR
NR
NR
NR
oui
NR
NR
NR
NR
NR
NR
NR
NR
NR
NR**
*Non-rponse
**Il sagit dun service daudit unique, ayant comptence sur lensemble des activits du groupe
Questions
Socit
C
Socit
F
Socit
O
Socit
R
non
oui
non
oui
non
non
non
oui
non
oui
NR
oui
Groupe Eyrolles
Questions
La construction du plan daudit de votre
socit comprend-elle :
- des missions groupes (auditeurs du
groupe) ?
- des missions mixtes (auditeurs groupes et
auditeurs zones, filiales) ?
Socit
C
Socit
F
Socit
O
Socit
R
oui
oui
oui
oui
oui
oui
oui
non
POUR CONCLURE
Groupe Eyrolles
Laudit interne est une fonction organise sur le plan international. Ainsi, sa
mthodologie en contexte international nest pas fondamentalement diffrente de
celle dploye pour conduire une mission daudit interne au niveau national. Elle
sappuie sur les normes et les modalits pratiques dapplication dictes par lIIA,
traduites et adaptes dans chaque chapitre national, dont lIfAcI en France. Dautres
organisations rgionales (ECIIA, OCDE) et les directives europennes contribuent
galement mettre en place de bonnes pratiques en matire daudit interne et de
gouvernance dentreprise et permettent galement de se benchmarker . Il est
apparu nanmoins quun certain nombre de bonnes pratiques sont observes pour
mener une mission daudit interne, notamment au niveau de lidentification des
risques groupes, de la construction du plan daudit et au niveau des bonnes
pratiques pour sadapter aux diffrents environnements. De mme, les entreprises
voluant linternational adoptent une structure centralise ou dcentralise de leur
service. Le choix dune structure par rapport une autre dpend aussi des enjeux du
groupe et du rle quil entend faire jouer laudit interne.
Chapitre 2
ET FLORENCE FRADIN
Responsable de la Recherche lIfAcI1
la suite des nombreux scandales financiers qui ont secou les entreprises amricaines la fin des annes 1990 et au dbut des annes 2000,
les tats-Unis ont adopt le 30 juillet 2002, le Sarbanes-Oxley Act
(SOX). Selon larticle 404 de cette loi, le directeur gnral et le directeur
financier doivent se dclarer responsables de la mise en place et du maintien
dun processus de contrle interne comptable et financier au sein de leur
entreprise et procder une valuation de son efficacit au regard dun
modle de contrle interne reconnu. Les auditeurs externes doivent quant
eux mettre une opinion sur son efficacit.
Groupe Eyrolles
De ce fait, le COSO, qui tait trs largement utilis aux tats-Unis, sest vu
adopt par de nombreuses socits trangres (notamment franaises) cotes
New York.
1. Depuis octobre 2006, Florence Fradin est Responsable Doctrine, Rfrentiel et Qualit lInspection gnrale de BNPParibas.
2. Le cadre de rfrence centr sur le contrle interne, auquel il sera fait rfrence tout au
long de ce chapitre, ne doit pas tre confondu avec le cadre de rfrence pour la gestion des risques. labor par le mme groupe de travail et, par commodit, appel le
COSO 2, il a t diffus en septembre 2004.
Il est toutefois admis que lon peut utiliser tout autre cadre sil a t tabli par
un corps dexperts, a t dbattu publiquement et sil intgre des lments
qui englobent tous les thmes du COSO1. Les recommandations sur le
contrle interne publies en 1995 par lInstitut canadien des Comptables
Agres et connu sous le nom de COCO, et lInternal Control Guidance for
Directors on the Combined Code, dvelopp en 19992 par lInstitut des
Experts-Comptables dAngleterre et du Pays de Galle, communment appel
le Turnbull Guidance ou Turnbull, semblent rpondre aux exigences du
PCAOB et de la SEC. Bon nombre de socits anglaises et canadiennes, soumises au SOX, ont choisi malgr tout le COSO comme cadre de rfrence.
Si lon veut tre trs puriste, seuls le COSO et le COCO peuvent tre considrs comme de vritables rfrentiels. En effet, le Turnbull sapparente
davantage un guide lattention des administrateurs dune socit cote
pour les aider tablir et rviser le systme de contrle interne.
Le 1er aot 2003 tait promulgue en France la loi de scurit financire
(LSF). Son article 117 cre lobligation pour le prsident du conseil dadministration ou du conseil de surveillance de rendre compte des procdures de
contrle interne mises en place par la socit3. En avril 2005, lAutorit des
Marchs Financiers (AMF) a confi un groupe de travail de Place , le
choix et/ou ladaptation dun rfrentiel de contrle interne lusage des
socits franaises soumises aux obligations de la loi du 1er aot 2003, en prcisant que le rfrentiel devait constituer un outil de gestion au service des
entreprises faisant appel public lpargne . Les travaux du groupe de place
ont t valids par lAMF et publis en dcembre 2006 sous le titre Le dispositif de contrle interne : cadre de rfrence .
Groupe Eyrolles
Sur le plan europen4, les autres pays nont pas adopt de rfrentiel spcifique lexception du Royaume-Uni et de lIrlande (Turnbull Report).
Prcisons que les Pays-Bas considrent que le COSO constitue un modle
sur lequel on peut sappuyer, mais que dautres sont possibles.
Deux de ces trois rfrentiels trangers cits ci-dessus ont t labors essentiellement par des comptables : le COCO par lInstitut canadien des Comptables agrs et le Turnbull par lInstitut des Experts Comptables
dAngleterre et du Pays de Galle. Le COSO a t rdig, quant lui, par un
groupe de travail dominante comptable et financire, mais dans lequel lIIA
a jou un rle de tout premier plan. Si lIIA na pas fait du COSO le rfrentiel officiel de contrle interne des auditeurs internes, il en a fortement
recommand lusage.
Pour ce qui est du cadre de rfrence (CDR) de lAMF, il a t rdig par les
reprsentants des entreprises (MEDEF1, AFEP2, Middlenext3) et des institutions comptables (CNCC4 et CSOEC5) et par des personnalits qualifies
appartenant notamment lIFA6, lIfAcI, lAMRAE7 et aux big four .
Les recommandations du COCO sappliquent tous les types
dorganisation : aux organismes des secteurs public et priv but lucratif,
organismes sans but lucratif, administrations centrales ou locales. Celles du
COSO ont pour ambition de sappliquer toutes les socits y compris
celles de taille modeste, pour lesquelles des recommandations spcifiques
sont labores. Le Turnbull, fond sur un certain nombre de principes et
soucieux de mettre en exergue limportance du management des risques, est
devenu non seulement le guide des socits cotes Londres, mais aussi celui
des organisations du secteur public et des associations sans but lucratif britanniques. Mme sil est destin en priorit aux socits soumises la LSF, le
CDR AMF devrait pouvoir tre adopt par toute organisation, quelle soit
du secteur public, priv ou du monde associatif 8.
Groupe Eyrolles
1.
2.
3.
4.
5.
6.
7.
8.
(COSO, COCO, Turnbull, CDR AMF). cette fin, les trois dimensions
suivantes seront analyses :
la porte du contrle interne ;
les composantes du contrle interne ;
les acteurs du contrle interne et leur responsabilit.
Objectifs
Tous les rfrentiels saccordent pour dfinir le contrle interne comme un
ensemble de moyens aidant une organisation atteindre ses objectifs. Le
CDR AMF na pas dfini le contrle interne comme tant un processus .
Il a hsit entre systme et dispositif pour sarrter en dfinitive dispositif en insistant beaucoup sur le fait que cest un dispositif de la socit,
dfini et mis en uvre sous sa responsabilit. Le CDR AMF a retenu
comme le COSO une dfinition largie du contrle interne. Alors que la
LSF, dans son article 117, ne parle que de procdures de contrle interne, le
CDR AMF prcise dentre que le contrle interne ne se limite pas un
ensemble de procdures ni aux seuls processus comptables et financiers.
Groupe Eyrolles
Les quatre rfrentiels identifient les trois mmes catgories dobjectif : lefficacit et lefficience des oprations, la fiabilit des informations financires,
la conformit aux lois et aux rglements en vigueur. Le CDR AMF na
cependant pas utilis le vocable objectif , afin dviter toute confusion
entre objectifs de contrle interne et objectifs de lentreprise.
Notons enfin que le Turnbull et le CDR AMF sont les seuls aborder la
notion de risque dans leur dfinition du contrle interne.
Dfinition
Selon le COSO : Le contrle interne est un processus mis en uvre par le
conseil dadministration, les dirigeants et le personnel dune organisation,
destin fournir une assurance raisonnable quant la ralisation des objectifs
suivants :
ralisation et optimisation des oprations ;
fiabilit des informations financires ;
conformit aux lois et aux rglementations en vigueur.
Pour le COCO : Le contrle interne est constitu des lments dune
organisation (y compris les ressources, les systmes, les processus, la culture,
la structure, et les tches) qui collectivement aident les gens raliser les
objectifs de lorganisation qui font partie des trois catgories suivantes :
efficacit et efficience du fonctionnement ;
fiabilit de linformation interne et externe ;
conformit aux lois, aux rglements et aux politiques internes.
Groupe Eyrolles
Pour le COCO, le champ de contrle interne inclut certains aspects particuliers de la gestion que le COSO exclut. Ainsi, si le COCO considre que le
contrle interne ne vise pas prescrire les objectifs tablir et que les dcisions relatives au fait dagir et la faon dagir sont des aspects de la gestion
qui ne font pas partie du contrle, il estime que le contrle interne peut
contribuer assurer que les personnes charges du suivi et de la prise de dcision disposent dinformations appropries et fiables et permet de suivre les
rsultats des actions ou des dcisions de ne pas agir et de faire un rapport
leur gard.
Enfin pour le CDR AMF, le contrle interne ne recouvre pas toutes les initiatives prises par les organes dirigeants ou le management, par exemple la
Groupe Eyrolles
Ce que le contrle interne ne recouvre pas est prcis par les CDR AMF,
COSO et COCO. Ce dernier donne au contrle interne un champ plus
tendu que ne le prvoit le COSO. Pour ce dernier, ne font pas partie du
contrle interne :
llaboration des objectifs de lorganisation, de sa mission et du chiffrage
des performances ;
les plans stratgiques ;
la dtermination des objectifs de chaque activit ;
la gestion des risques ;
les actions correctives.
dfinition de la stratgie de la socit, la dtermination des objectifs, les dcisions de gestion, le traitement des risques ou le suivi des performances.
Groupe Eyrolles
Selon le Turnbull, un systme de contrle interne rduit, mais ne peut liminer la possibilit dun mauvais jugement lors de prises de dcision, lerreur
humaine, les contrles contourns de manire dlibre par les employs, les
contrles outrepasss par le management ni loccurrence de circonstances
imprvisibles. Un systme de contrle interne procure une assurance raisonnable, mais non absolue que lentreprise pourra atteindre ses objectifs.
Quant au COSO, il stipule que tout systme de contrle interne ne peut
fournir au plus quune assurance raisonnable au management et au conseil
dadministration quant la ralisation des objectifs de lentreprise. La probabilit datteindre ceux-ci est soumise aux limites inhrentes tout systme de
contrle interne, quil sagisse, par exemple, dun jugement erron, de dysfonctionnements dus des dfaillances humaines ou de simples erreurs. En
outre, la collusion entre deux personnes ou plus permet de contourner les
contrles et il est toujours possible aux dirigeants d outrepasser le systme
Groupe Eyrolles
Groupe Eyrolles
En pratique
Dans le cadre dun groupe, la socit mre veille lexistence de dispositifs de contrle interne au sein de ses filiales. Ces dispositifs devraient tre
adapts leurs caractristiques propres et aux relations entre la socit
mre et les filiales. Pour les participations significatives, dans lesquelles la
socit mre exerce une influence notable, il appartient cette dernire
dapprcier la possibilit de prendre connaissance et dexaminer les mesures prises par la participation concerne en matire de contrle interne.
Groupe Eyrolles
Selon le CDR AMF, le dispositif de contrle interne comprend cinq composantes troitement lies. Bien quelles soient applicables toutes les socits, leur mise en uvre peut tre ralise diffremment selon la taille et le
secteur dactivit des socits. Ces cinq composantes sont une organisation
adapte, la diffusion en interne dinformations pertinentes, un systme visant
recenser et analyser les principaux risques, des activits de contrle, enfin
une surveillance permanente.
La section qui suit concerne essentiellement la comparaison des lments de
contrle interne des rfrentiels COSO, COCO et CDR AMF, partir des
lments du COSO. De ce dernier, le CDR AMF sest inspir des cinq
composantes, mme si lon ne retrouve pas lidentique, dans le document
de place, la terminologie utilise par le rfrentiel amricain.
Du Turnbull, le CDR AMF a retenu lesprit, cest--dire celui dun guide
bas sur des principes gnraux et non sur des rgles contraignantes. Cest la
raison pour laquelle les propos concernant le CDR AMF seront parfois
moins dtaills que ceux relatifs au COSO ou au COCO.
Lune des annexes du COCO permet de regrouper les critres de contrle
en fonction des diffrentes composantes du COSO.
Dans la mesure du possible, les lments dcrits en annexe du Turnbull seront
galement prsents.
Lenvironnement de contrle
Groupe Eyrolles
Intgrit et thique
Le COSO comme le COCO saccordent dire que des valeurs thiques,
dont lintgrit, doivent tre communiques au sein de lorganisation et tre
traduites par un code de conduite. Selon ces deux rfrentiels, la direction
gnrale (ainsi que le conseil pour le COCO) ont une influence majeure
dans ce domaine et doivent donner lexemple. Dans la mesure o le
CDR AMF considre que des rgles de conduite et dintgrit portes par
les organes de gouvernance et lexemplarit sont des pralables la mise en
uvre dun bon dispositif de contrle interne, il ne les a pas traites en tant
que composantes du contrle interne, mais plutt en tant qulments sousjacents, indispensables sa mise en uvre.
Le COSO
Les objectifs dune entreprise et les mthodes utilises pour les atteindre sont
fonds sur des priorits, des jugements de valeur et un style de management.
Ces priorits et jugements de valeur, qui se traduisent par un code de
conduite, refltent lintgrit et lthique des dirigeants. Lefficacit des procdures de contrle interne dpend de lintgrit et de lthique dont font
preuve les personnes qui crent ces contrles, les grent et en assurent le
suivi. Lthique et lintgrit des dirigeants sont le fruit de la culture
dentreprise , qui se matrialise dans des normes dthique et de conduite,
ainsi que dans les mthodes utilises pour communiquer et dvelopper
celles-ci au sein de lentreprise. La direction gnrale joue un rle majeur
dans la dtermination de la culture dentreprise, commencer par le P-DG.
Des principes dthique doivent tre inculqus et des conseils explicites en la
matire doivent galement tre prodigus. Lexemple constitue la meilleure
faon de promouvoir un message de comportement conforme lthique
travers toute la firme. Toutefois, donner lexemple nest pas suffisant. Le
management doit communiquer oralement au personnel les valeurs et les
normes de conduite retenues par lorganisation. Il est particulirement
important que des sanctions soient prvues en cas de violation de ces codes
de conduite et que des mcanismes de communication des infractions soient
mis en place.
Groupe Eyrolles
Le COCO
Le Turnbull
Pour celui-ci, la direction gnrale doit dmontrer au travers de ses actions
tout comme de ses politiques son engagement en faveur de lintgrit.
Groupe Eyrolles
Le COCO
Les politiques et pratiques en matire de RH devraient tre conformes aux
valeurs thiques de lorganisation et cohrentes avec ses objectifs. Le contrle
est effectu par lintermdiaire de personnes dont le comportement et la
motivation sont influencs par les politiques et pratiques en termes de RH et
par les systmes de rcompenses. Le comportement des gens est influenc
par lide quils ont du mode de gestion et de rcompense dont ils font
lobjet. Un climat de confiance mutuelle devait tre favoris pour faciliter la
Cet aspect de lenvironnement de contrle concerne les dlgations de pouvoirs et de responsabilits au sein des activits oprationnelles, les liens hirarchiques permettant la remonte des informations et les rgles en matire
dapprobation. Il concerne galement la manire dont les individus et les quipes sont encourags prendre des initiatives pour aborder et rsoudre les problmes, ainsi que les limites imposes lautorit exerce par des individus et
des quipes. La principale difficult rside dans le fait que les responsabilits ne
doivent tre dlgues que dans la limite des objectifs raliser. Pour cela, il est
ncessaire de sassurer que les risques sont pris en fonction de la capacit des
responsables les identifier et les minimiser, ainsi qu valuer et peser les
pertes et les gains potentiels rsultant de la prise de dcision. Il est galement
trs difficile dassurer la comprhension des objectifs de lentit par lensemble
du personnel. Il est essentiel que chacun soit conscient du lien existant entre ses
actions et celles des autres, et de leur contribution la ralisation des objectifs.
Groupe Eyrolles
Le COSO
Le COCO
Les pouvoirs, les responsabilits et lobligation den rendre compte devraient
tre clairement dfinis et conformes aux objectifs de lorganisation afin que
les dcisions et les actions soient prises par les bonnes personnes. Ces pouvoirs
et responsabilits doivent tre communiqus au moyen de descriptions de
tches ou de fonction. Des politiques visant faciliter latteinte des objectifs
de lorganisation et la gestion des risques auxquels elle fait face devraient tre
tablies, communiques et mises en pratique, afin que les gens comprennent
ce qui est attendu deux et connaissent ltendue de leur libert daction.
Le Turnbull
Les pouvoirs et les responsabilits doivent tre clairement dfinis de telle
sorte que les dcisions soient prises et les actions effectues par les personnes
appropries. La socit doit communiquer ses salaris ce qui est attendu
deux et leur espace de libert daction.
Le CDR AMF
La mise en uvre dun dispositif de contrle interne doit reposer sur des principes fondamentaux, mais aussi sur deux autres lments. Il faut dabord une
organisation approprie qui fournit le cadre dans lequel les activits ncessaires la ralisation des objectifs sont planifies, excutes, suivies et contrles.
Par ailleurs, des responsabilits et pouvoirs clairement dfinis doivent tre
accords aux personnes appropries en fonction des objectifs de la socit. Ils
peuvent tre formaliss et communiqus au moyen de descriptions de tches
ou de fonctions, dorganigrammes hirarchiques et fonctionnels, de dlgations de pouvoirs et devraient respecter le principe de sparation des tches.
Comptences
Le COSO, le Turnbull et le CDR AMF conviennent que les membres de
lorganisation doivent possder les connaissances et les comptences ncessaires laccomplissement de leurs tches.
Groupe Eyrolles
Le COSO
La comptence doit reflter la connaissance et les aptitudes ncessaires
laccomplissement des tches requises chaque poste. Il appartient gnralement au management de dcider du niveau de qualit requis pour ces tches,
en fonction des objectifs de la socit et des plans stratgiques mis en uvre.
Structure de lentreprise
Selon le COSO, quelle que soit la structure retenue, les activits dune entreprise doivent tre organises de faon faciliter la mise en uvre des stratgies destines assurer la ralisation dobjectifs prcis.
Groupe Eyrolles
Les risques
Si pour le COSO et le CDR AMF, lvaluation des risques est lune des cinq
composantes du contrle interne, le Turnbull en fait une notion centrale
puisque selon ce rfrentiel, le conseil doit adopter une approche base sur
les risques pour tablir un systme de contrle interne solide. Et selon le
COCO, le contrle est efficace seulement si les risques rsiduels de nonralisation des objectifs de lorganisation sont jugs acceptables. Le contrle
comprend donc lidentification et la rduction des risques.
Les objectifs
Les quatre rfrentiels saccordent dire que la fixation des objectifs constitue une condition pralable lvaluation des risques. Pour lensemble de ces
rfrentiels, ces objectifs doivent tre clairs et comprhensibles par les membres de lorganisation. Une communication de ces objectifs est par consquent ncessaire. Les quatre rfrentiels saccordent galement sur le fait que
ces objectifs doivent tre mesurables. Rappelons que pour le COCO, le
COSO et le CDR AMF, la dtermination des objectifs est hors du champ de
contrle interne.
Le COSO
Groupe Eyrolles
Le management doit se fixer des objectifs avant didentifier les risques susceptibles davoir un impact sur leur ralisation et prendre les mesures ncessaires. Ltablissement des objectifs reprsente donc une tape cl de la
conduite des affaires. Bien que ntant pas un lment du contrle interne,
cette phase constitue une condition pralable permettant dassurer le
contrle interne. En se fixant des objectifs gnraux, une entreprise est en
mesure didentifier des facteurs cls de russite, cest--dire des vnements
qui doivent se produire ou des conditions qui doivent exister pour que les
objectifs puissent tre atteints.
Ces derniers doivent tre complmentaires et lis. Les objectifs gnraux
doivent non seulement tre en harmonie avec les capacits et les perspectives
de lentreprise, mais galement tre en accord avec les objectifs de ses diffrentes units et fonctions. Ainsi, lorsquune entreprise met en place une nouvelle stratgie, il est ncessaire de sassurer de la cohrence des objectifs fixs
au niveau des diffrentes units et des fonctions avec ceux de lentit. Les
objectifs relatifs aux activits doivent tre clairs, i.e. tre aisment comprhensibles par les individus responsables de leur ralisation. Ils doivent galement
Groupe Eyrolles
point de vue des cots de relever lensemble des risques, leur identification
doit tre suffisamment globale.
Le COCO estime que les notions de risques et dopportunits sont troitement lies.
Pour le COSO, une distinction doit tre faite entre les procdures didentification des risques et danalyse de risques, pour limiter les risques importants.
Le COCO et le Turnbull prcisent que les risques jugs acceptables par le
Conseil et le management doivent tre communiqus lensemble des
membres de lorganisation.
Mais, alors que le COSO parle de lvaluation du risque de tous les risques , le CDR AMF, lui, voque un systme qui vise recenser et analyser les principaux risques. Encore faut-il quils soient identifiables Il sagit
ici plus que dune simple nuance.
Groupe Eyrolles
Le COSO
Ce processus didentification et danalyse du risque est un lment cl dun
systme de contrle interne efficace. Le management doit, tous les
niveaux, identifier minutieusement les risques et prendre les mesures adquates afin de les limiter. Les performances dune entreprise peuvent tre
menaces par des facteurs internes ou externes. Ceux-ci peuvent, leur
tour, avoir un impact la fois sur les objectifs formuls et sur les objectifs
implicites. Il est essentiel que tous les risques soient identifis. Une technique
consiste identifier les activits comportant le plus de risques et classer ces
derniers par ordre de priorit.
Lessentiel est que les dirigeants tiennent compte attentivement des facteurs
qui peuvent contribuer lapparition dun risque, voire son aggravation.
Les facteurs prendre en compte sont notamment :
la non-ralisation des objectifs par le pass ;
la comptence du personnel ;
les changements au niveau de la concurrence, de la rglementation, du
personnel ou autres, ayant un impact sur lentreprise ;
la dispersion gographique des activits, internationale principalement ;
limportance que revt une activit pour lentreprise ;
la complexit dune activit.
Le contrle est efficace lorsque les risques rsiduels (non contrls) de nonralisation des objectifs de lorganisation sont jugs acceptables. Le contrle
comprend donc lidentification et la rduction des risques. Ceux-ci ne se
limitent pas aux risques connus lis la ralisation dun objectif prcis ; ils
comprennent galement deux risques plus fondamentaux qui menacent la
viabilit et le succs de lorganisation :
celui que lorganisation ne conserve pas sa capacit didentifier et de
mettre profit les opportunits ;
celui que lorganisation ne conserve pas sa souplesse, i.e. la capacit de
lorganisation ragir et sadapter lorsque des risques et des opportunits imprvus se manifestent.
Les risques internes et externes importants auxquels lorganisation fait face
dans la poursuite de ses objectifs devraient tre identifis et valus. Toute
action ou toute inaction comporte un risque de non-ralisation des objectifs.
Les risques et les opportunits sont troitement lis. Il est important que
lorganisation identifie de faon continue les risques internes et externes
importants afin quelle puisse ragir aux changements (ou les susciter) de
faon approprie et sans dlai.
Bien quil soit rarement avantageux du point de vue des cots de tenter de
relever tous les risques, leur identification doit tre suffisamment globale
pour fournir lassurance raisonnable que les risques pouvant avoir une
incidence importante sur les objectifs sont identifis. Les gens ont besoin
de savoir quels risques sont acceptables pour la direction gnrale et le
conseil dadministration. Lidentification explicite des risques rsiduels
accepts et la communication de cet lment dans lensemble de lorganisation sont essentielles lefficacit du contrle. Lidentification et lvaluation des risques doivent tre menes pour chaque objectif important de
lorganisation.
Le risque provient des environnements dans lesquels lorganisation uvre,
mais aussi des choix faits en matire de fonctionnement.
Groupe Eyrolles
Le COCO
Le Turnbull
Les risques significatifs doivent tre identifis et valus rgulirement. Le
management et les autres membres du personnel doivent connatre les risques jugs acceptables par le conseil.
Le CDR AMF
La socit doit recenser les principaux risques identifiables, internes ou
externes, pouvant avoir un impact sur la probabilit datteindre les objectifs
quelle sest fixs. Cette identification, qui sinscrit dans le cadre dun processus continu, devrait couvrir les risques pouvant avoir une incidence importante sur sa situation.
Groupe Eyrolles
Pour valuer les risques, il convient destimer les probabilits que survienne
un fait ainsi que limportance des consquences de ce dernier afin que les
politiques et les processus de contrle appropris puissent tre mis au point.
Le Turnbull
Pour dterminer des politiques de contrle interne, le conseil doit prendre
en considration :
Notons quil existe une diffrence de nature entre lvaluation des risques, qui
fait partie intgrante du contrle interne, et les plans, programmes et mesures
en dcoulant, jugs ncessaires par le management dans le cadre de la gestion
des risques. Prendre des mesures constitue un maillon essentiel dans un processus de gestion densemble, mais pas un lment du systme de contrle
interne. Paralllement aux mesures prises pour grer le risque, des procdures
permettent aux dirigeants den suivre la mise en uvre et lefficacit. Avant
dinstaurer des procdures supplmentaires, le management doit dterminer si
celles dj existantes sont adquates au regard des risques identifis.
Groupe Eyrolles
Le COCO
Pour valuer les risques, il convient destimer les probabilits que survienne
un fait ainsi que limportance de ses consquences afin que les politiques et
processus appropris puissent tre mis au point pour les contrler.
Le Turnbull
Le conseil doit sassurer que le systme de contrle interne est efficace pour
grer les risques. Pour cela, il doit tablir des procdures qui doivent tre
mises en uvre par le management.
Le CDR AMF
Les diffrents lments danalyse de risques ne sont pas figs, mais au contraire
pris en compte dans un processus de gestion des risques. La direction gnrale
ou le directoire, avec lappui dune direction des risques si elle existe
devraient dfinir des procdures de gestion des risques.
La gestion du changement
Les quatre rfrentiels indiquent que lorganisation doit tre attentive aux
changements dans son environnement interne et externe et prendre les
mesures qui simposent. Pour le COSO, le COCO et le Turnbull, une procdure spcifique doit tre mise en place cet effet.
Le COSO
Les changements intervenus dans lconomie, le secteur dactivit, le contexte
rglementaire et les activits de lentreprise font quun systme de contrle
interne qui savre efficace dans tel contexte ne le sera pas ncessairement
dans tel autre. Une procdure visant identifier les changements dans lenvironnement et prendre les mesures qui simposent constitue le fondement de
lvaluation des risques. Il est essentiel que chaque entreprise dispose dune
procdure, formelle ou non, permettant didentifier les vnements pouvant
avoir un impact significatif sur sa capacit atteindre les objectifs fixs.
Groupe Eyrolles
Le COCO
Les changements relatifs tout aspect de lorganisation ont des consquences
sur les contrles. Une surveillance continue des environnements externe et
interne permet lorganisation de dceler les changements rapides et dy
ragir sans dlai. Linformation obtenue au moyen de la surveillance des
environnements peut indiquer quil est ncessaire de rvaluer les objectifs et
Groupe Eyrolles
lentreprise peuvent tre distingues : le domaine oprationnel, linformation financire et le respect des contraintes lgales et rglementaires.
Les contrles peuvent sappliquer spcifiquement un domaine, ou en
recouper plusieurs. Il existe de nombreux types dactivits de contrle, quil
sagisse de contrles orients vers la prvention ou vers la dtection, de
contrles manuels ou informatiques, ou encore de contrles hirarchiques :
analyses effectues par le management, gestion des activits ou des fonctions,
traitement des donnes, contrles physiques, indicateurs de performance,
sparation des tches.
Le COCO
Les activits de contrle devraient tre conues de faon faire partie intgrante de lorganisation, compte tenu des objectifs de celle-ci, des risques
susceptibles de nuire latteinte de ces objectifs et de linterrelation entre les
lments de contrle.
Les activits de contrle constituent des procdures standard tablies pour
fournir lassurance que les processus fonctionnent comme prvu et quils
rpondent aux exigences des politiques de lorganisation. Chaque membre
de lorganisation est susceptible davoir une responsabilit lgard des activits de contrle. La dcision den ajouter devrait tenir compte des cots, des
avantages et des risques rsiduels acceptables.
En pratique
Voici quelques exemples dactivits de contrle : lobservation, la comparaison, lapprobation, la communication des rapports, la coordination,
lexamen, la vrification, la sparation des fonctions, le suivi, etc.
Le CDR AMF
Groupe Eyrolles
Le COCO
Certaines activits de contrle sont propres au systme dinformation, par
exemple le contrle de laccs aux logiciels et au matriel, la sauvegarde et la
reprise, le contrle de la programmation, etc.
Groupe Eyrolles
Le CDR AMF
Une attention toute particulire devrait tre porte aux contrles des processus de construction et de fonctionnement des systmes dinformation.
Les systmes informatiques sur lesquels sappuient les systmes dinformation doivent tre protgs efficacement tant au niveau de leur scurit
physique que logique afin dassurer la conservation des informations stockes. Leur continuit dexploitation doit tre assure au moyen de procdures de recours. Les informations relatives aux analyses, la
programmation et lexcution des traitements, doivent faire lobjet
dune documentation.
Information et communication
Les quatre rfrentiels affirment que linformation doit tre pertinente, fiable
et diffuse au moment opportun aux personnes qui en ont besoin pour leur
permettre dassurer leurs responsabilits, et que les besoins en information
ainsi que les systmes dinformation doivent voluer en fonction des changements de lenvironnement.
Le COSO et le Turnbull prcisent quil est ncessaire de prvoir des systmes
de communication permettant aux individus de faire remonter des problmes ou des questions dlicates.
Information
Groupe Eyrolles
Le COSO
La gestion de lentreprise et la progression vers les objectifs quelle sest fixs
impliquent que linformation irrigue tous les niveaux de la socit. Il devient
particulirement important de sassurer que les informations collectes continuent de correspondre aux besoins de lorganisation. Lorsque cette dernire opre dans un environnement en profonde mutation, les systmes
dinformation doivent voluer pour rpondre aux nouveaux objectifs de la
firme.
Pour tre efficaces toutefois, les systmes dinformation doivent non seulement identifier et recueillir les donnes requises, financires ou non, mais
galement les traiter et les diffuser dans des dlais et sous une forme facilitant
les activits de contrle.
Le COCO
Des plans pour guider les efforts de ralisation des objectifs de lorganisation
devraient tre tablis et communiqus. La planification traduit les objectifs et
lvaluation des risques en stratgies, en plans daction et en cibles oprationnelles et financires en fonction desquels on peut mesurer les progrs et en
faire le suivi. Une information pertinente suffisante devrait tre tablie et
communique dans des dlais acceptables pour permettre aux personnes de
sacquitter des responsabilits qui leur sont confies. Pour que le suivi soit
efficace, il faut que les informations recueillies soient pertinentes et fiables,
quelles soient communiques ceux dots du pouvoir dagir ou mises leur
disposition. Enfin, elles doivent tre recueillies suffisamment vite pour permettre une prise de position efficace. Les besoins dinformation et les systmes connexes devraient tre rvalus lorsque les objectifs changent ou que
des dficiences sont releves dans la communication de linformation.
Groupe Eyrolles
Le Turnbull
Des informations pertinentes, fiables et transmises au moment opportun
doivent tre communiques au management et au conseil pour leur permettre de prendre toutes les dcisions qui simposent. Les besoins en information
ainsi que les systmes dinformation doivent tre rvalus ds lors que les
objectifs, les risques voluent ou que des dfaillances sont identifies.
Le CDR AMF
Il insiste sur la diffusion en interne dinformations pertinentes, fiables, dont
la connaissance permet chacun dexercer ses responsabilits.
Communication
Le COCO
Les processus de communication devraient soutenir les valeurs de lorganisation et la ralisation de ses objectifs. Pour que le contrle soit efficace,
lorganisation doit disposer de processus de communication permettant la
communication bidirectionnelle et ouverte dinformations pertinentes et
fiables en temps voulu. Les processus peuvent tre structurs ou informels.
Ils servent diffuser un large ventail dinformations, notamment sur les
valeurs thiques, les politiques, les pouvoirs, les responsabilits et les obligations den rendre compte, les objectifs de lorganisation et les plans pour
les atteindre.
Des processus respectant lanonymat devraient exister pour la communication de problmes ou de questions dlicates.
Le COSO
Groupe Eyrolles
Tous les membres du personnel, et notamment ceux ayant dimportantes responsabilits oprationnelles ou financires, doivent recevoir de la direction
un message exposant avec force limportance du contrle interne. La clart
du message revt une grande importance, ainsi que lefficacit avec laquelle
ce dernier est transmis.
Chaque acteur particulier impliqu dans le contrle interne doit avoir conscience des diffrents aspects du systme, de la faon dont ceux-ci simbriquent,
ainsi que de son rle et de ses responsabilits propres dans cet ensemble.
Au sein de lentit, chacun doit savoir en quoi ses activits sont lies celles
des autres. Il est essentiel de possder cette connaissance pour dtecter une
Le pilotage
Les quatre rfrentiels conviennent de la ncessit de mettre en uvre un
processus de pilotage du contrle interne et de raliser des valuations ponctuelles de son efficacit, notamment par le biais dauto-valuations ou encore
de revues ralises par laudit interne.
Mis part des diffrences de vocabulaire (le COSO parle de pilotage et
dvaluation, le CDR AMF de surveillance), peu de diffrences existent
entre les deux approches. Elles mettent en avant la ncessit de contrler le
dispositif du contrle interne pour sassurer de son bon fonctionnement, ces
contrles se faisant de faon permanente et priodique. Le COSO souligne
que les contrles priodiques peuvent se faire par auto-valuation ou grce
aux travaux dauditeurs internes. Le CDR AMF, lui, ne mentionne que les
travaux effectus par laudit interne.
Groupe Eyrolles
Si le COSO note que le management peut utiliser les travaux effectus par
les auditeurs externes, le CDR AMF y ajoute ceux raliss par les ventuelles instances rglementaires de supervision (commission bancaire par exemple), lorsque cela est prvu par les textes.
Processus dvaluation
Le COSO
Lvaluation dun systme de contrle interne constitue un processus en soi.
Ceci implique de comprendre chaque activit de lorganisation et chaque
lment de contrle interne valus. Ce processus suppose lanalyse de la
structure du systme de contrle interne et des rsultats des tests effectus,
mene dans le cadre de critres dfinis, afin de pouvoir dterminer si le systme permet dobtenir une assurance raisonnable de ralisation des objectifs
fixs.
Le CDR AMF
Une surveillance permanente portant sur le dispositif de contrle interne
ainsi quun examen rgulier de son fonctionnement doivent tre mis en
uvre. Comme tout systme, le dispositif de contrle interne doit faire
lobjet dune surveillance permanente. Il sagit de vrifier sa pertinence et
son adquation aux objectifs de la socit.
Groupe Eyrolles
Le COSO
Ces oprations comprennent les activits courantes de gestion et de supervision, les analyses comparatives, les rapprochements dinformations et dautres
tches courantes.
Le CDR AMF
Mise en uvre par le management sous le pilotage de la direction gnrale
ou du directoire, la surveillance prend notamment en compte lanalyse des
principaux incidents constats, le rsultat des contrles raliss ainsi que des
travaux effectus par laudit interne, lorsquil existe. Cette surveillance
sappuie notamment sur les remarques formules par les commissaires aux
comptes et par les ventuelles instances rglementaires de supervision. La
surveillance peut utilement tre complte par une veille active sur les
meilleures pratiques en matire de contrle interne. Surveillance et veille
conduisent, si ncessaire, la mise en uvre dactions correctives et ladaptation du dispositif de contrle interne.
valuations ponctuelles
Le COSO
Si les oprations courantes de pilotage fournissent habituellement dintressantes informations sur lefficacit des autres lments du contrle interne, il
peut tre utile de porter de temps en temps un regard neuf sur lefficacit du
systme, cela peut galement tre loccasion de dterminer si les oprations
courantes de surveillance continuent dtre efficaces.
Les valuations du contrle interne varient en tendue et en frquence, en
fonction de limportance relative des risques couverts par les contrles, dune
part, et des contrles visant les rduire, dautre part.
Ce processus prend souvent la forme dune auto-valuation : les personnes
responsables dune unit ou dune fonction particulire dterminent ellesmmes lefficacit des contrles sy appliquant.
Les auditeurs internes valuent rgulirement le contrle interne. De mme,
le management peut se servir des travaux effectus par les auditeurs externes
dans le cadre de leur propre valuation de lefficacit du contrle interne.
Le COCO
La direction devrait valuer priodiquement lefficacit du contrle dans
lorganisation et communiquer les rsultats de son valuation aux personnes
obligatoirement concernes. La frquence et le dtail de lexamen varient
selon la nature et limportance de lobjectif et des risques connexes. Lvaluation du contrle dans une organisation peut tre faite de faon informelle
(contacts directs), en ayant recours des vrificateurs, et au moyen dautovaluation. Les rsultats de ces valuations doivent tre communiqus. Les
personnes responsables, individuellement ou en quipe, de la ralisation
dobjectifs, doivent galement ltre de lefficacit du contrle qui contribue
la ralisation de ces objectifs et communiquer les rsultats de ces valuations
aux personnes auxquelles elles doivent rendre des comptes. Quelle que soit la
faon de mener lvaluation, il faut en dvoiler les conclusions pour boucler la
boucle de lobligation de rendre compte envers les personnes responsables de
lensemble de lorganisation (par exemple, le conseil dadministration).
Groupe Eyrolles
Le Turnbull
Le management est responsable de la mise en uvre dun processus continu
de pilotage afin de sassurer de lapplication des politiques, des procdures et
des activits relatives au contrle interne et la gestion des risques. Ce processus inclut des auto-valuations, la confirmation par les membres de lorganisation du respect des politiques et du code de conduite, des audits internes
ou dautres revues effectues par le management. Un tel processus doit permettre de sassurer que lorganisation est mme de rvaluer ses risques et
dadapter les contrles en fonction des modifications de ses objectifs, de son
activit ou de lenvironnement externe.
Des communications, relatives lefficacit du processus de pilotage, doivent
tre ralises, au moment opportun, auprs du Conseil et doivent inclure :
lvaluation de tous les risques significatifs ;
lvaluation de lefficacit du contrle interne au regard de ces risques ;
lidentification de toutes les faiblesses ou les dfaillances de contrles, en
prcisant limpact quils ont, auraient, ou peuvent avoir sur la socit ;
les actions prises pour pallier et rectifier ces dysfonctionnements.
valuation annuelle
Groupe Eyrolles
Selon le Turnbull, le conseil doit dfinir le processus relatif la revue defficacit du contrle interne, tous les contrles internes y tant soumis (oprationnels, de conformit, financiers). Durant lanne, il doit revoir les
rapports du management relatifs au contrle interne et doit :
identifier les risques significatifs et valuer comment ils ont t identifis,
mesurs et grs ;
valuer lefficacit du systme de contrle interne permettant de grer les
risques significatifs, en particulier au regard des dfaillances ou des faiblesses de contrle interne qui lui auraient t rapportes ;
considrer si les actions ncessaires sont prises temps pour remdier aux
faiblesses et aux dfaillances identifies ;
considrer si les points faibles identifis indiquent la ncessit dun suivi
renforc du systme de contrle interne.
Lvaluation annuelle du conseil doit prendre en compte plusieurs paramtres. Il sagit tout dabord des changements intervenus durant lanne et de la
capacit de lentreprise rpondre ces changements.
Il doit galement examiner le primtre et la qualit du suivi relatif aux risques et au systme de contrle interne ralis par le management et, le cas
chant, le travail ralis par laudit interne et les autres fonctions dassurance.
Le conseil prend aussi en compte ltendue et la frquence des communications de ses diffrents comits, permettant de construire une valuation
annuelle, ainsi que limpact des dfaillances et des faiblesses significatives de
contrle interne qui ont, auraient ou pourraient avoir des consquences sur
la performance de lentreprise.
Enfin, il doit considrer lefficacit du processus de reporting de lentreprise.
Personnes informer
Groupe Eyrolles
Le COSO
Le CDR AMF
La direction gnrale ou le directoire apprcient les conditions dans lesquelles ils informent le conseil des principaux rsultats des surveillances et des
examens ainsi exercs.
Groupe Eyrolles
cation du conseil varie dune socit lautre. Mais ce dernier a la possibilit de prendre toutes les initiatives ncessaires pour jouer un rle
appropri dans la surveillance du dispositif de contrle interne.
Le COSO et le CDR AMF reconnaissent le rle de surveillance du comit
daudit sur le dispositif de contrle interne et lapport positif de laudit
interne pour laider exercer cette responsabilit.
Mais le rfrentiel COSO va plus loin que le CDR AMF : il met en avant
le devoir dalerte thique de tous les employs et note linfluence que
peuvent avoir certains tiers la socit pour le maintien du contrle
interne. Notons toutefois que selon le CDR AMF, la surveillance du dispositif de contrle interne peut sappuyer sur les remarques formules par
les commissaires aux comptes et les ventuelles instances rglementaires
de supervision.
Le conseil dadministration
Le COSO
Le conseil dadministration et le comit daudit supervisent le systme de
contrle interne. En fait, tous les comits du conseil dadministration, de par
leur rle de supervision, constituent des lments importants du systme de
contrle interne.
Le COCO
Le Turnbull
Le conseil est responsable du systme de contrle interne de lorganisation. Il
doit mettre en place les politiques de contrle interne et rechercher rguli-
Groupe Eyrolles
Le CDR AMF
Le niveau dimplication des conseils en matire de contrle interne varie
dune socit une autre. Il appartient la direction gnrale ou au directoire de rendre compte au conseil (ou son comit daudit lorsquil existe)
des caractristiques essentielles du dispositif de contrle interne. Si ncessaire, le conseil peut faire usage de ses pouvoirs gnraux pour faire procder
par la suite aux contrles et aux vrifications jugs opportuns ou prendre
toute autre initiative quil estimerait approprie.
Le comit daudit
Le COSO
Le comit daudit (ou le conseil dadministration en labsence dun tel
comit) occupe une position privilgie : il a les pouvoirs ncessaires pour
interroger la direction sur la faon dont elle assume ses responsabilits en
matire dinformations financires, ainsi que pour sassurer du suivi des
recommandations. Le comit daudit, agissant en collaboration ou en complment dune fonction daudit interne influente, est le mieux plac pour
identifier les tentatives de la direction d outrepasser le systme de contrle
interne dune part, et dautre part, pour agir en consquence. Il est clair que
le contrle interne se trouve renforc par son existence.
Le CDR AMF
Groupe Eyrolles
Le management
Le COSO
Le management est directement responsable de lensemble des activits de
lorganisation, y compris de son systme de contrle interne. Le P-DG
assume la responsabilit ultime. Il est ainsi le premier responsable du systme
de contrle interne. Pour cela, il doit sassurer de lexistence dun environnement de contrle positif et donner lexemple par des principes de conduite
influenant les facteurs ayant trait lenvironnement de contrle.
Les directeurs des diffrentes entits sont responsables du contrle interne li
aux objectifs de celles-ci. Ils pilotent le dveloppement et la mise en uvre
des normes et des procdures de contrle interne destines permettre la
ralisation des objectifs de lunit, et sassurent quelles sont cohrentes avec
les objectifs gnraux de la socit.
Le P-DG ayant lultime responsabilit du systme de contrle interne doit
rendre compte au conseil dadministration de tout ce qui sy rapporte.
Le COCO
Les membres de la direction participent au contrle et ont la responsabilit
den rendre compte.
Le Turnbull
Le rle du management est dappliquer les politiques de contrle et de risques dfinies par le conseil. Pour cela, le management doit valuer les risques
encourus par lorganisation, dfinir, mettre en uvre et piloter un systme
de contrle interne fiable.
Le CDR AMF
Groupe Eyrolles
Le COCO
Groupe Eyrolles
Le Turnbull
Il prcise que les employs doivent avoir les comptences, la connaissance,
linformation et lautorit ncessaires pour tablir et suivre le systme de
contrle interne. Pour cela, ils doivent connatre et comprendre les objectifs
de la socit, le march sur lequel celle-ci volue et les risques auxquels elle
doit faire face.
Le CDR AMF
Chaque collaborateur concern devrait avoir la connaissance et linformation ncessaires pour tablir, faire fonctionner et surveiller le dispositif de
contrle interne, au regard des objectifs qui lui ont t assigns. Cest le cas
des responsables oprationnels en prise directe avec le dispositif de contrle
interne, mais aussi des contrleurs internes, qui doivent jouer un rle important de pilotage et de contrle.
Les socits ne disposant pas dune fonction daudit interne doivent revoir
rgulirement leur besoin en la matire. Le conseil doit sassurer de faon
annuelle du besoin de cette fonction. Ce besoin varie en fonction de divers
critres (taille, diversit, complexit des entreprises, nombre demploys...).
Il est indiqu quen labsence de fonction daudit interne, le management
doit appliquer dautres processus de suivi de manire lui fournir, ainsi quau
conseil, lassurance que le systme de contrle interne fonctionne comme
prvu. Dans ce cas, le conseil doit sassurer quun tel processus fournit une
assurance suffisante et objective.
Groupe Eyrolles
Le Turnbull
Le CDR AMF
Lorsquil existe, le service daudit interne a la responsabilit dvaluer le
fonctionnement du dispositif de contrle interne et de faire toutes prconisations pour lamliorer, dans le champ couvert par ses missions. Il sensibilise
et forme habituellement lencadrement au contrle interne, mais nest pas
directement impliqu dans la mise en uvre quotidienne du dispositif. Le
responsable de laudit interne rend compte des principaux rsultats de la surveillance exerce la direction gnrale et, selon des modalits dtermines
par chaque socit, aux organes sociaux.
Les tiers
Selon le COSO, plusieurs catgories de tiers peuvent contribuer la ralisation des objectifs de lentreprise, parfois grce des actions menes
paralllement celles de la socit. Dans dautres cas, les tiers peuvent fournir des informations utiles lentit dans ses activits de contrle interne.
Parmi ces tiers, le COSO cite les auditeurs externes, les lgislateurs et les
autorits de tutelle, les tiers ayant une interaction avec lentit, les analystes
financiers, la presse
POUR CONCLURE
Voici les dix points cls des quatre principaux rfrentiels de contrle interne :
1. Le contrle interne se dfinit comme un ensemble de moyens aidant une
organisation raliser ses objectifs que lon peut classer en trois catgories :
efficacit et efficience des oprations ;
fiabilit de linformation interne et externe ;
conformit aux lois, aux rglements et aux politiques internes.
Groupe Eyrolles
10. Le contrle interne est laffaire de tous : conseil dadministration et ses comits ;
direction gnrale ; lensemble des managers ; laudit interne ; tout le personnel.
Groupe Eyrolles
Chapitre 3
Groupe Eyrolles
1. Les auteurs remercient les collaborateurs des banques interviews pour ce travail.
2. Ce comit a pour mission de fixer dans le cadre des orientations dfinies par le gouvernement et sous rserve des attributions du Comit de la rglementation comptable,
les prescriptions dordre gnral applicables aux tablissements de crdit et aux entreprises dinvestissement .
Groupe Eyrolles
Ble 2
SOX
Groupe Eyrolles
Ce contrle fait ainsi appel la vigilance de chaque salari dans le travail quil
effectue en lui permettant dviter le moindre risque derreur. Il vise par l
mme propager une forte culture de contrle. Le contrle de premier
niveau pourrait tre assimil ainsi un contrle des flux.
Chaque responsable de dpartement a pour mission, dans le cadre de ses responsabilits de management, dorganiser des contrles rguliers. Ceux-ci
doivent tre effectus dans chaque dpartement priodiquement et rgulirement (sur une base mensuelle par exemple). Ils doivent tre formaliss par
crit pour ne pas laisser la place la moindre ambigut.
lissue de la vrification, le contrle permanent met un constat quil rapporte au responsable du dpartement concern. Le contrleur de second
Groupe Eyrolles
niveau sappuie sur la technique de lenqute et, plus prcisment, utilise les
questionnaires comme un moyen de vrifier les contrles raliss par les contrleurs oprationnels ainsi quun moyen de communication avec ces derniers.
En pratique
La frquence des contrles dpend de la nature de la transaction vrifier.
Si le contrleur souhaite par exemple sassurer de la scurit du coffre-fort,
bien que cette situation prsente un risque important pour la banque, ce
contrle ne sera effectu quune fois ou, au mieux, deux fois par an. Ainsi,
toute opration caractre stable est faiblement contrle. En revanche,
une opration juge volatile fera lobjet de contrles plus frquents. Il sagit
notamment du domaine informatique, o les changements de systmes
sont assez frquents, ou encore de la trsorerie de la banque.
Groupe Eyrolles
Son action sorganise sur la base dun plan daudit annuel soumis la direction. Elle porte sur toutes les activits de la banque, sans aucune exclusion.
Des interventions non planifies peuvent tre dclenches en fonction
dvnements internes ou externes sa demande. Les contrles et/ou missions daudit font lobjet de notes de synthse ou de rapports qui lui sont
transmis ainsi quaux responsables des services audits.
Selon la dfinition de lIIA, galement utilise par les groupes bancaires,
laudit interne est une activit indpendante et objective qui donne une
organisation une assurance sur le degr de matrise de ses oprations, lui
apporte ses conseils pour les amliorer et contribue crer de la valeur ajoute. Il aide cette organisation atteindre ses objectifs en valuant, par une
approche systmatique et mthodique, ses processus de management des risques, de contrle, de gouvernement dentreprise, et en faisant des propositions pour renforcer leur efficacit .
Groupe Eyrolles
Surveillance
Conseil
d'administration
Information/Coordination
Surveillance
Comit d'audit
Information
Coordination
Audit externe
Information
Direction gnrale
Audit
Contrle interne
But de l'audit :
intgrit des processus ;
efficience et efficacit
des processus
Information
Coordination
Collaboration
But du CI :
crire les processus
tablir les rfrentiels
efficience, efficacit, revues
Groupe Eyrolles
Ajoutons cet exemple que le contrle permanent, contrairement la direction Groupe responsable des contrles SOX, ne sappuie pas sur une cartographie des risques indispensable pour :
les identifier et faire en sorte que les diffrents acteurs aient la mme ide
des risques business ;
instaurer un langage commun en ce qui concerne ces risques.
Au niveau des relations Monde/France, le groupe audit France est rattach
directement au prsident du directoire de cette filiale. En fonction des missions effectues, laudit France rend compte aux dirigeants (dans le cadre des
Groupe Eyrolles
Par ailleurs, il est constat que les contrles SOX relevant de la hirarchie
monde bnficient dune attention particulire avec loctroi dune enveloppe budgtaire importante, contrairement aux moyens dbloqus pour le
contrle permanent.
Groupe Eyrolles
Groupe Eyrolles
Activit de contrle
Information et communication
Linformation pertinente doit tre identifie, recueillie et diffuse sous une
forme et dans des dlais permettant chacun dassumer ses responsabilits.
Les systmes dinformation produisent, entre autres, des donnes oprationnelles, financires ou encore lies au respect des obligations lgales et rglementaires, qui permettent de grer et de contrler lactivit.
Ces systmes traitent non seulement les donnes produites par lentreprise,
mais galement celles manant de lextrieur (vnements, marche de lactivit, contexte gnral) et qui sont ncessaires la prise de dcision en matire
de conduite des affaires et de reporting externe.
Il existe galement un besoin plus large de communication efficace, la fois
ascendante, descendante et horizontale. Le management doit transmettre un
message clair lensemble du personnel sur toutes les responsabilits en
matire de contrle. Les employs doivent comprendre le rle quils sont
appels jouer dans le systme, ainsi que la relation existant entre leurs propres activits et celles des autres membres du personnel. Ils doivent tre en
mesure de faire remonter les informations importantes.
Par ailleurs, une communication efficace avec les tiers, tels que les clients, les
fournisseurs, les autorits de tutelle ou les actionnaires, est aussi ncessaire.
Pilotage
Groupe Eyrolles
Groupe Eyrolles
Concernant le risque de march, il faut une mesure quotidienne et exhaustive des risques rsultant des positions du portefeuille de ngociation et de
ladquation des fonds propres. La mthode retenue doit permettre lagrgation des positions relatives des produits et des marchs diffrents au niveau
de lentreprise ou du groupe.
Pour le risque de taux dintrt global, il convient de raliser le suivi de
lexposition globale de lentreprise assujettie au risque de taux avec notamment une valuation rgulire des risques en cas de forte variation des paramtres de march. La mesure de ce risque doit permettre dapprhender les
facteurs de risque de taux dintrt global et dvaluer limpact de ces diffrents facteurs sur leurs rsultats et leurs fonds propres.
Quant aux risques dintermdiation, des procdures de suivi permettent
dapprhender les engagements lgard des donneurs dordres et des
contreparties et de recenser par donneur dordres les garanties constitues
sous forme de dpts despces ou dinstruments financiers. Le contrle de
ce risque suppose notamment pour chaque donneur dordres la prise en
compte des oprations dj ralises, sa situation financire, enfin le calcul
journalier de la valeur de march de ses positions acheteuse et vendeuse.
Enfin, pour les risques de liquidit et de rglement, des procdures permettent aux tablissements assujettis de connatre leur exposition au risque de
rglement, mesure quils concluent de nouvelles oprations.
Les risques oprationnels
Groupe Eyrolles
Analyse de lenvironnement
Quelle est linteraction de la banque avec son environnement ? La rponse
cette question suppose une analyse globale, oprationnelle et stratgique,
Groupe Eyrolles
mais aussi rglementaire. Au-del, ce sont les parties prenantes qui sont analyses en regardant jusqu leurs attentes par rapport linstitution.
Apprciation de la culture risque et degr dlaboration du systme
de gestion des risques et de contrle interne
Lauditeur va tenter dvaluer la politique risque au regard des documents
que peut lui fournir la banque, des entretiens avec les dirigeants. Il est donc
prfrable de pouvoir disposer dlments formaliss pour affirmer lexistence dune telle politique. Cette dernire est elle-mme le fruit de la comprhension, de la mesure et du contrle ralis. On peut ainsi observer
certains comportements types comme viter de rentrer sur tel ou tel march,
rduire ou transfrer un risque par lutilisation de drivs de crdit. Ensuite,
il est ncessaire de fixer les limites au-del desquelles on ne souhaite pas aller
par catgories de risques. Les documents de reporting qui en dcoulent doivent montrer lvolution de lexposition de manire individuelle ou globale.
Apprciation et analyse de chaque risque
Aucun domaine dactivit et aucun type de risque (financier ou non financier) ne doit chapper laudit. La nouveaut est lmergence dun risque de
rputation qui dcoule de lensemble des autres risques. Lestimation reste
assez dlicate et les consquences difficiles valuer. Au-del de lestimation,
lauditeur doit aussi comprendre comment ils sont grs et contrls. Ce travail consiste regarder si les mesures prises par la banque en vue de les minimiser sont efficaces et adquates.
Seule une telle analyse permet de sassurer que les risques sont bien identifis
et correctement reflts dans les comptes annuels. ces trois axes, sajoute
une analyse du respect des conditions dautorisation donnes aux cadres de la
banque et plus gnralement des rgles de comportement.
Groupe Eyrolles
Tests defficacit
Un lment cl de SOX rside dans les tests defficacit. Il sagit en fait dune
application directe de larticle 404 de la loi. Le TOE (Test of efficiency) vrifie
que les contrles internes du reporting financier fonctionnent de faon
empcher ou dtecter des erreurs matrielles dans les rapports financiers.
Celui-ci est conduit par laudit Paris ou les testeurs Londres.
Un tel test constitue lun des outils les plus importants pour laudit interne
afin dvaluer lefficacit des contrles internes selon des critres appropris.
Afin dassurer le maximum de pertinence et de fiabilit, le TOE doit
sappuyer sur des preuves documentes et aboutir une valuation crite sur
lefficacit du contrle interne dans la banque. Ces tests sont conduits suivant
le planning annuel pour assurer la fiabilit des processus de reporting et audel, la fiabilit des tats financiers pour le management et les actionnaires.
On ne peut dcrire ici lensemble des tests et du droulement dune telle
mission, mais le travail avec des auditeurs a permis de dresser un premier
comparatif des difficults et des synergies possibles lies la ncessit de
mettre en uvre deux rfrentiels.
Groupe Eyrolles
En pratique
Dans le secteur bancaire, la place sest accorde ne pas vrifier les chques mis en dessous de 5 000 euros, car cela cote moins cher de prendre en charge les sinistres que de les prvenir. La saisie et la validation du
chque pourrait ainsi tre confie un junior. Or, la loi SOX exige le
principe des 4 yeux , quelle que soit lopration.
Enfin, les missions SOX cotent cher. En effet, chacune dure en moyenne
trois semaines lorsque la documentation est communique temps par les
oprationnels. Lorsquun test est dfaillant, il faut prvoir nouveau une
quipe pour effectuer les contrles. Laudit peut galement faire appel des
consultants externes, comme dans la filiale anglaise o trois consultants ont
t recruts : un pour la conception des guides daudit, un autre pour la
coordination SOX, enfin un dernier pour lanalyse des risques.
Malgr la lourdeur des contrles imposs par la lgislation SOX, les risques, notamment derreur humaine et de fraude, ne peuvent tre prvenus ni
empchs. Les limites cette loi rsident galement dans la facult de jugement laisse aux auditeurs.
Groupe Eyrolles
En dehors du dernier point, il est peut-tre utile de mener une rflexion sur
le cadrage mthodologique apport par SOX pour amliorer la qualit du
contrle interne la franaise. Mme si la raction premire est le rejet du
formalisme et lapprhension du dispositif comme une contrainte supplmentaire, cette dernire peut se transformer en relle opportunit pour amliorer lvaluation de la scurit des dispositifs.
Groupe Eyrolles
POUR CONCLURE
Groupe Eyrolles
La gestion des risques, ainsi que laudit et le contrle internes, doivent rellement tre
apprhends comme un processus continu dont lapplication doit tre garantie en
permanence. Ce processus doit assurer lidentification des dficiences et la prise de
mesures de correction adquates. Il ne peut sagir dune apprciation fige des
risques un instant donn. Ds lors, lefficacit du dispositif devient une relle source
davantage concurrentiel pour un tablissement. En sus de la vision purement
contrle , la combinaison de ces dispositifs fournit un outil de pilotage ayant
vocation amliorer les pratiques et pas seulement sanctionner. Les tablissements
ayant pris conscience de lopportunit qui leur est offerte auront une longueur
davance.
Chapitre 4
Groupe Eyrolles
La deuxime est relationnelle. En effet, le mtier dauditeur interne suppose des contacts : en face--face avec les collaborateurs des entits audites, mais aussi avec dautres personnes, dans le cadre de leur recherche
dinformation. La diversit des personnes rencontres est, en fonction des
thmes abords et des problmatiques traites, importante : les auditeurs
internes vont rencontrer des membres de la direction gnrale, mais aussi
des collaborateurs tout en bas de la hirarchie. De plus, ces personnes
auront des mtiers et des domaines dexpertise trs divers et varis, souvent
loigns de la formation des auditeurs internes. Pour ajouter aux difficults, les modes de rencontre entre auditeurs internes et audits sont multiples dans le cadre dune mission daudit. Le mode de rencontre le plus
souvent pratiqu est le face--face, souvent dans le bureau de laudit.
Noublions pas que la mthodologie implique aussi la pratique de runions
douverture et de clture, exercices souvent difficiles et combien importants pour la suite des vnements ; dautres rencontres, tels que des ateliers, peuvent aussi tre mises en pratique. Cette facette sera appele
communication orale dans cette contribution.
La troisime facette est celle de reporting (le terme anglo-saxon induit une
notion dcrit et doral que le mot franais de rapport ne comporte pas).
Il sagit de rapporter pour faire agir et, l, lcrit est le support essentiel.
Cette facette sera appele communication crite dans ce chapitre.
Les dveloppements qui suivent ont donc pour objet de montrer la pratique
de la communication orale et de la communication crite dans les activits
daudit interne, den prsenter les difficults et de mettre en exergue leur
multiplication en environnement international.
Ce chapitre abordera, comme corollaire de la communication, les attitudes et
les comportements qui sont, compte tenu des diffrences de culture auxquelles sont confronts les auditeurs internes, sans doute parmi les lments
les plus importants considrer.
Groupe Eyrolles
Les auditeurs internes doivent savoir communiquer tant par crit que par
oral. Si, en gnral, il ne reste officiellement que le rapport daudit, il faut se
rappeler que, tout au long de la mission, lauditeur interne a de nombreux
contacts qui ont tous une incidence sur la mission elle-mme et sur son
droulement.
La communication orale, elle, permet de recueillir et de prciser des informations, dobtenir des audits des explications et des renseignements sur des
points qui ne sont pas toujours formaliss dans les entreprises. Les difficults
du recueil dinformations sont nombreuses :
manque de temps des audits ;
manque de connaissance de la fonction audit interne et de son
fonctionnement ;
image ngative de la fonction ;
audits rticents donner une information plus ou moins confidentielle.
Tous les auditeurs internes ont connu un jour dans leur mtier cette dpense
dnergie pour obtenir un lment dinformation ncessaire connatre un
moment donn.
Cest de ces difficults et des moyens de les viter ou de les surmonter quil
sera question ici. Lemphase sera place sur laugmentation de ces difficults
en contexte international, cest--dire dans un environnement plus ou moins
connu sur le plan de la langue et des comportements.
Groupe Eyrolles
En pratique
Si on considre une mission daudit sur la comptabilit, le responsable de
la comptabilit, le directeur financier et le directeur gnral auront des
attentes trs diffrentes. Celles du premier seront trs oprationnelles vis-vis de la mission. Le second souhaitera savoir si les risques essentiels sont
sous contrle et si les rgles sont respectes, alors que le DG aura des
attentes plus larges et beaucoup moins oprationnelles avec un besoin de
dtails moins important que les deux premiers.
Groupe Eyrolles
audits et avec les mandants de la mission daudit, ainsi que dchanger avec
lquipe daudit (superviseur, chef de mission, etc.) et avec les quipes
dauditeurs internes venir.
crire est aussi la seule faon de laisser des traces (notion de traabilit) la
fois pour laction mettre en uvre et pour le suivi de cette action, mais
aussi pour la reprise des audits futurs dans le cas de missions rcurrentes.
Les crits daudit sont multiples (lettre de mission, compte-rendu dentretien, synthse, rapport, etc.) et tous bass sur lobservation et lanalyse tout au
long de la mission. Ils ne se rsument en aucun cas aux seuls comptes-rendus
dentretiens.
Sil est facile dcrire pour soi, la principale difficult de lcrit professionnel
reste, comme il a t prcis plus haut, de rdiger pour dautres lecteurs, parfois inconnus, en :
comprenant leurs besoins ;
se mettant leur place ;
anticipant les questions quils pourront se poser.
En effet, lauditeur interne est un instant t devenu le spcialiste du domaine
audit. Il a analys les processus et procdures, a men les tests, investigu et
compuls des documents, rencontr les audits et entendu les difficults
quils connaissent et donc matrise fond son sujet. Sil dtient un nombre
important dinformations en tte que nont pas ses futurs lecteurs, il na
dailleurs parfois pas conscience de toutes les informations formelles ou
informelles dont il dispose.
La difficult consiste faire passer lensemble de ses connaissances (ainsi que
dautres messages comme les recommandations) diffrents types de lecteurs
qui nont ni les mmes attentes, ni les mmes besoins, ni les mmes objectifs.
Groupe Eyrolles
Les auditeurs internes doivent donc savoir crire de faon claire, prcise,
concise, neutre et objective.
crire clairement permet dtre compris de tous. ce niveau, il faut savoir se
mettre la porte de tous les lecteurs et se poser notamment la question des
termes techniques et du jargon professionnel ; cela est particulirement vrai
sur certains thmes daudit comme linformatique, la finance ou les questions juridiques. Lauditeur devra employer des termes simples ou dfinir de
faon simple les termes employs.
La prcision, elle, vise ne pas susciter de questions inutiles. Le langage de
laudit interne ne doit pas souffrir dimprcision qui amne les lecteurs
poser ou se poser des questions sur le sens de ce qui est crit. Notons que
limprcision peut en outre amener les lecteurs douter de ce qui est crit,
voire prendre de mauvaises dcisions.
Quant lcriture concise, elle permet de ne pas gnrer de perte de temps.
Les diffrents lecteurs ne disposent pas tous du mme temps pour lire les rapports et dautres crits daudit. La concision permet, sans mot ni priphrase,
de tout crire.
La neutralit assure de ne pas devenir juge du domaine audit. Lobjectif
dune mission daudit est dassurer la conformit (audit rglementaire) ou la
couverture satisfaisante des risques (audit oprationnel), mais en aucun cas de
porter un jugement sur les personnes. Les auditeurs internes travaillent sur
les processus, les procdures, les organisations, les structures, etc., mais jamais
sur les personnes.
Enfin, rdiger objectivement permet de ne pas prendre parti. Lcrit est descriptif et factuel, ne donne lopinion de lauditeur que sur les actions et leur
rsultat, ne doit pas inclure de notion de bien ou de mal , mais uniquement valuer ce qui est par rapport ce qui devrait tre.
Il est donc impratif, tant pour la facilit dcrire que pour celle dtre lu, de
disposer dune mthodologie dcriture, qui prsente deux objectifs :
aider le rdacteur dans son travail afin dy investir le moins de temps possible, lui permettant notamment de finaliser un rapport de mission dans
les meilleurs dlais ;
aider le rdacteur sortir de ce seul rle, se mettre la place de ses lecteurs et ainsi de comprendre et donc de rpondre leurs besoins et leurs
attentes.
Groupe Eyrolles
Premire tape
Il sagit dune tape de rflexion. Cest galement une phase de marketing,
en ce sens o elle consiste considrer les lecteurs comme des clients et
lcrit comme un produit destin satisfaire un besoin client. Il convient
alors de se poser les questions suivantes par rapport aux lecteurs (les clients) :
Les bonnes questions
Qui sont les clients/lecteurs ?
Quels sont leurs vritables attentes et leurs besoins rels par rapport au
produit (document crit) ?
Quelle est leur connaissance du sujet ? Sont-ils des experts ou au
contraire des nophytes, voire des ignorants du sujet ?
Quel est leur intrt pour le sujet ? Vont-ils tre passionns, car vritablement partie prenante dans le sujet trait ou au contraire simplement intresss sans tre vraiment concerns ?
Quel est leur temps disponible pour lire le document ? Vont-ils en faire
une lecture assidue et y passer un temps important ou une lecture
rapide, voire partielle ou trs partielle ?
Groupe Eyrolles
Deuxime tape
Cest l aussi une tape de rflexion, pouvant cependant donner lieu une
partie dcrit en fonction de la longueur et de la complexit du sujet. Il
sagit, ce niveau, de construire le processus rdactionnel pour ladapter en
dterminant les messages essentiels faire passer, puis les messages annexes.
Par message , il faut entendre les points essentiels sur lesquels nous souhaitons attirer lattention de nos lecteurs. En fonction de ces messages, il sagit
ensuite tout dabord dorganiser les ides les unes par rapport aux autres :
quelles sont les ides fortes, essentielles ?
Il convient aussi de procder un tri et une hirarchisation des
informations : quelles sont les informations importantes qui vont soutenir et
argumenter le message ? Quelles sont celles de moindre importance ?
Enfin, il faut concevoir un plan dtaill afin de permettre lenchanement
logique des ides et le passage facile (notion de fil conducteur) dune ide
une autre. En dautres termes, il sagit de guider nos lecteurs, de leur faciliter
la tche, de les aider lire.
Troisime tape
La troisime phase consiste passer la rdaction qui peut, en fonction de la
complexit de lcrit et des capacits rdactionnelles de chaque auditeur
interne, ncessiter un projet avant rdaction dfinitive.
ce niveau, il est important dentretenir une bonne communication dans
lquipe : en effet, un des gains de temps pour lquipe daudit consiste
faire bien ds le premier jet. Il convient donc de connatre le style souhait par le responsable de la mission : souhaite-t-il plutt un style dvelopp
ou lapidaire ? Jusqu quel niveau de dtail veut-il aller ? Etc. Noublions pas,
comme nous lavons soulign prcdemment, que toute reprise dcrit est
longue et mentalement pnible.
La rdaction va porter sur le fond et sur la forme. Des normes rdactionnelles et de prsentation, quil convient de respecter en plus des standards
dcriture, peuvent exister dans les organisations.
Le fond, qui concerne le message et les ides, constitue la partie essentielle,
car cest sur cette base que vont tre prises les dcisions, notamment de mise
en uvre ou non des recommandations.
Quatrime tape
Le processus rdactionnel ne sachve quaprs une quatrime phase, dite de
relecture, qui a pour objectif de livrer un produit totalement fini. La relec-
Groupe Eyrolles
ture suit des rgles prcises : elle doit tre organise par objectif et centre sur
la nature des erreurs supprimer, en fonction des difficults particulires que
se connat le rdacteur.
En pratique
Deux relectures au moins sont ncessaires :
une sur le fond, par exemple centre sur les liens logiques entre les diffrentes parties du raisonnement, sur la prsence dun fil conducteur, le choix
et la place des informations rapportes, etc. ;
une autre sur la forme, par exemple focalise sur les rptitions, la longueur des phrases, la ponctuation, etc.
Groupe Eyrolles
La deuxime difficult est due lcriture du rapport lui-mme, en particulier du vocabulaire et donc de la prcision des mots employs. Il nest pas
toujours facile de traduire prcisment en mots sa pense dans sa propre langue. Ce problme se complexifie dans une langue trangre. En effet, mme
si nous possdons bien cet idiome, notre prcision savrera rarement aussi
bonne que dans notre langue maternelle.
La troisime difficult toujours dans lcriture du rapport sexplique par
la grammaire et la syntaxe dans une langue trangre. Si cette dernire ne
nous est pas parfaitement connue, notre faon de rdiger ne sera pas optimale
et la forme de notre crit obrera le fond.
Sans que cela se vrifie pour toutes les organisations ni pour toutes les personnes audites, il existe un certain nombre dimages ngatives de la fonction
audit interne qui nuisent la qualit de la communication orale entre auditeurs et audits :
lespion : lauditeur interne est considr comme celui qui va noter sans
rien dire et rapporter quelquun dautre, sans que cela soit bien prcis
dans la tte de laudit ;
le reprsentant de la direction gnrale : lauditeur interne est considr
comme le missi dominici de la DG, envoy pour contrler, vrifier ;
le procdurier : lauditeur interne est considr comme celui qui veut
tout prix que soit respecte une procdure, mme si celle-ci ne convient
pas ou si une solution plus oprationnelle au traitement dune donne a
t trouve ;
le non-spcialiste : lauditeur interne est considr comme une personne
ne connaissant pas le travail effectu par lentit audite et donc ne pouvant rien lui apporter ;
Groupe Eyrolles
Groupe Eyrolles
Malgr cela, les images positives de laudit existent, mais sont beaucoup
moins souvent cites par les audits. On peut dire que laudit apporte dans
une entit :
la prise de recul : souvent, les oprationnels sont trs prs des oprations
et ne prennent pas de recul (organisation, procdures, structures), ce
que savent faire les auditeurs ;
la vision neuve et impartiale : les auditeurs ntant pas des oprationnels
de la fonction audite, ils ont une vision non oriente par des habitudes
de fonctionnement et dnue de partialit, leur permettant de remettre
en cause des modes opratoires ;
la vision globale : les auditeurs voient lensemble des processus et ne se
limitent donc pas, comme cest le cas pour bien des oprationnels, une
partie du fonctionnement dune entit ;
le transfert de bonnes pratiques : les auditeurs internes analysent de nombreux processus et peuvent transfrer des pratiques rencontres dans
dautres entits, des faons de faire ou de traiter des donnes ;
le temps et la mthodologie daudit : les auditeurs internes suivent une
mthodologie danalyse qui leur permet de tout voir et de tout analyser,
en prenant le temps, ce que ne peuvent pas faire les oprationnels, trop
souvent bloqus par des chances.
Lobjectif de la communication orale des auditeurs internes va consister
dvelopper les images positives et amoindrir les images ngatives de faon
amliorer la qualit et lefficacit des changes avec les audits.
Enfin, considrons la communication non verbale. En effet, la communication ne passe pas que par la parole et par la voix, mais aussi par dautres
moyens comme les expressions corporelles et les attitudes. Ainsi, les principaux lments de communication non verbale sont : les yeux, le visage, les
mains, les silences et lespace.
Les chiffres suivants peuvent surprendre, mais ils sont unanimement admis :
nous communiquons environ 55 % par le mode non verbal, 38 % de
faon paraverbale et 7 % verbalement. Cela peut se comprendre, puisque
Groupe Eyrolles
La communication paraverbale, elle, passe par la voix, qui constitue un instrument de communication dont il faut savoir jouer, notamment en runion.
On distingue en gnral les caractristiques suivantes dans la voix (qui peuvent toutes tre travailles) :
la diction ou la faon de dire, qui comprend larticulation et la
prononciation ;
la modulation ou la faon dalterner les parties parles de la phrase et les
silences ;
le dbit ou la vitesse dmission des mots (un dbit trop important nuit
la comprhension, mais un dbit trop lent entrane une perte dintrt) ;
le volume ou amplitude du son : il est plus ou moins fort suivant la quantit dair utilise par les poumons (un volume trop faible nuit la comprhension, un volume trop fort est agressif).
dans toute situation de prsence nous sommes dabord vus, puis entendus et
enfin couts.
Groupe Eyrolles
Il convient galement de travailler en fonction des comportements des audits. Si la trs grande majorit des entretiens daudit se passent bien, certains
comportements sont trs polluants par rapport lefficacit et donc au rsultat.
Arrtons l cette liste. Cependant, il importe de savoir quil existe ici aussi
des moyens et des techniques pour faire face ces situations qui peuvent
avoir deux consquences si nous ny prenons pas garde. La premire consquence rside dans la perte dinformation, de temps et dnergie. En effet, le
temps et lnergie passs lutter avec laudit ne sont pas consacrs au
dveloppement dun entretien constructif. La deuxime consquence est un
En pratique
Qui na pas un jour rencontr un hyperbavard qui noie des informations
importantes sous un flot de paroles ayant tendance faire faiblir notre
attention ?
Qui na pas un jour rencontr un audit dviant qui rpond ct de
la question et finit par nous faire douter de notre qualit de
questionnement ?
Qui na pas un jour rencontr un audit colreux qui semporte sans retenue et sans que nous layons vu venir ?
Qui na pas un jour rencontr un audit dstabilisant qui joue la montre
afin dviter les questions ?
Groupe Eyrolles
Lexercice de la transparence
Groupe Eyrolles
En cas dinterprte interpos, il est difficile de pouvoir faire autre chose que
confiance. Cependant, lobservation visuelle des ractions des interlocuteurs
peut servir reprer des signes de non-comprhension ou de surprise chez
les audits, dont il faudra essayer dobtenir la signification via linterprte.
Groupe Eyrolles
Tous ces outils nous permettent, non pas de changer notre personnalit, ce
qui serait une erreur, mais de travailler sur nos attitudes et donc de piloter
notre comportement en fonction de celui des audits, et ce dans un but
defficacit de linformation recueillie.
Quatre paramtres
Les ouvrages sur le comportement en milieu multiculturel sont nombreux.
Une rapide recherche sur Internet permet de sen apercevoir.
Ainsi, le psychologue nerlandais Geert Hofstede (1994), se fondant sur
lanalyse statistique du comportement au travail des collaborateurs denviron
soixante-dix filiales dun grand groupe international rparties dans le monde
entier, dduit un certain nombre de postulats caractrisant les populations
rencontres. Selon lui, quatre paramtres essentiels ont un impact sur notre
comportement au travail et sur notre relation aux autres.
Lindice de distance hirarchique
Ce paramtre, dfini comme le degr dingalit attendu et accept par les
personnes, va se traduire pour les auditeurs internes par la facilit avoir
accs telle ou telle personne en fonction de son niveau hirarchique.
Groupe Eyrolles
En pratique
Un exemple rcemment vcu en tant que formateur a permis de constater
que dans un grand groupe franais, seul le chef de mission peut avoir
accs un niveau hirarchique donn. Cela signifie que lui seul peut interviewer tel niveau hirarchique et non les auditeurs internes, a fortiori sils
sont juniors.
Pour les auditeurs internes, cela se traduira par la forte ou faible existence de
rgles et de procdures et de leur plus ou moins grande formalisation.
Peut-on dduire de ces quelques lignes quune typologie peut tre tablie et
que lon peut programmer son propre comportement de telle ou telle faon
Groupe Eyrolles
avant daller faire une mission daudit dans tel ou tel pays ? Certainement pas,
mais cela peut nous aider comprendre et accepter certains comportements qui ne nous sont pas familiers. Il reste que, par dfinition, une personne est unique et que son comportement le sera aussi. Donc, si lon peut
prvoir un certain nombre de choses, il faudra rester adaptable et ragir au
cas par cas.
En pratique
En France, pays fort besoin de contrle de lincertitude, les procdures
sont souvent nombreuses et documentes, tandis que dans dautres pays, il
est plus difficile de trouver des procdures crites, voire des procdures
tout court !
Quelques exemples
Les exemples qui suivent aident illustrer cette trs courte analyse des diffrences de comportement.
Sil est normal en France de se serrer la main en se rencontrant, il nen va pas
de mme dans certains pays anglo-saxons dans lesquels, en revanche,
lemploi du prnom est rapide et courant.
Par ailleurs, si se regarder en face est courant et recommand lors dun entretien daudit en Europe, il nen va pas de mme dans certains pays dAfrique
o, notamment en cas dcart dge et/ou de niveau hirarchique entre
lauditeur interne et laudit, il convient de ne pas trop regarder son interlocuteur dans les yeux.
Groupe Eyrolles
Et que dire de la distance entre deux personnes qui se parlent debout ? Les
Anglo-Saxons vont garder une distance respectable , alors que les Brsiliens seront trs proches lun de lautre, un point qui peut surprendre un
Europen.
Quant la tenue vestimentaire, elle peut aussi surprendre nos interlocuteurs.
Sans aller chercher des vtements de facture fort diffrente, il est vident que
la mode franaise et celle dAmricaine du Nord sont bien diffrentes et que,
quelle que soit notre pratique de la langue dHemingway, il sera difficile de
ne pas ressembler un Frenchie en entrant dans un bureau.
Pour leur part, les contextes politiques entre deux pays peuvent aussi un
moment donn compliquer les choses : ce nest plus lauditeur interne que
lon voit entrer, mais la personne de telle ou telle nationalit, reprsentant
telle ou telle position politique de son pays.
voquons aussi ici la notion de temps, qui ne semble pas tre la mme pour
tous. Le respect des horaires dbut dune runion de travail par exemple
ne semble pas avoir la mme signification dans tous les pays
De plus, il est possible de compliquer les choses en ajoutant, dans certains
pays, la notion de relation homme/femme qui peut fortement diffrer de ce
quelle est sur notre continent et induire des situations quelque peu tendues,
voire conflictuelles.
Enfin, encore un mot sur les religions, qui ont aussi une incidence sur les
horaires absence des personnes aux heures de prire ou imposent de ne
pas commencer un tour de table du mauvais ct .
POUR CONCLURE
Alors que faut-il faire ? Doit-on se dire que les missions daudit interne ne peuvent
avoir lieu quen pays connu ou quil faut des quipes dauditeurs internes dans
chaque pays et quils nen sortent pas ?
Peut-tre vaut-il mieux disposer dquipes internationales et en tout tat de cause
adaptables aux diffrents contextes. Encore faut-il que, pour sadapter, les auditeurs
internes sachent comment procder.
La connaissance des us et les coutumes du pays dans lequel nous travaillons est
indispensable pour adopter un comportement et une communication positive
lgard de nos audits : pour cela, il convient dinvestir un peu de temps pour
apprendre, comprendre et accepter les diffrences.
Ensuite, il faut possder un certain nombre doutils et de techniques de
communication afin de communiquer en toutes circonstances. Si ces techniques ne
sont pas toujours faciles ni simples mettre en uvre, elles sapprennent.
Enfin, il est ncessaire de travailler un minimum sur soi pour viter des ractions bien
spontanes qui pourraient choquer ou froisser.
Groupe Eyrolles
Sil fallait rsumer ces quelques lignes par un seul mot, peut-tre celui qui viendrait
lesprit serait adaptabilit.
Partie II
La contribution de laudit interne
au processus de gouvernance
de lentreprise
en environnement international
Chapitre 5
Lobjectivit de lvaluation
de la corporate governance
par laudit interne
PAR CHRISTOPHE GODOWSKI,
Matre de Confrences lInstitut dAdministration des
Entreprises (IAE) de lUniversit Franois-Rabelais
de Tours
1. Il existe un dbat sur la traduction de lexpression corporate governance. Certains prconisent lutilisation des termes gouvernance de lentreprise , alors que dautres prfrent le vocable de gouvernement dentreprise , au motif quil ne sagit pas
uniquement dun problme de partage des pouvoirs et des responsabilits autour de la
finance. Nous adopterons dans la suite du texte indiffremment les expressions corporate
governance, gouvernance dentreprise et gouvernement de lentreprise .
2. Les thories macro se donnent pour objectif de justifier de la coexistence de plusieurs
systmes nationaux de gouvernance (SNG) et den tudier le possible processus de
convergence vers un modle suprieur.
Groupe Eyrolles
trielles se ralisant par appel public lpargne, le capital sest retrouv dilu
entre diffrentes mains peu concernes pour exercer des fonctions de direction au sein de la structure. Les nombreux propritaires ont donc t dans
lobligation de mandater des personnes pour grer lentreprise. En prenant
appui sur cette reprsentation de la firme, un premier champ apparat sous la
dnomination de vision actionnariale de la gouvernance de lentreprise. Les
critiques ont contribu faire merger une seconde approche rpondant
une vision partenariale de lentreprise.
La vision actionnariale de la gouvernance
Groupe Eyrolles
Lentreprise est gre par des dirigeants mandats par les propritaires (les
actionnaires ou shareholders) dans le but de maximiser la rente que ces derniers pourraient en retirer. Les dirigeants peuvent tre conduits adopter un
comportement dviant de lobjectif de maximisation de la valeur de lentreprise au profit des actionnaires. Cette hypothse dpend de lopportunisme
du dirigeant par rapport au contexte gnral. Le fait de se retrouver conjointement au cur du processus de dcision, de dvelopper des actions difficilement observables par les actionnaires et dvoluer dans une situation de
contrat incomplet peut conduire les dirigeants prendre des dcisions pnalisant la performance globale de lentreprise. Les dcisions prises par les dirigeants auraient plus pour objectif de senraciner au sein de lorganisation que
de maximiser la rente au profit des propritaires. Shleifer et Vishny (1989)
assimilent cette stratgie denracinement au choix dinvestissements spcifiques (investissements pas forcment rentables mais en relation directe avec le
type de formation ou les expriences des dirigeants) pour devenir indispensable au sein de la structure et grer progressivement lentreprise de manire
indpendante. Lobjectif daccroissement de leur latitude managriale peut
galement servir une stratgie de carririsme externe, cest--dire un accroissement
de sa valeur sur le march du travail (Finet, 2005). Mme sil est possible certains gards de considrer la stratgie denracinement de manire positive, eu
gard au cycle de vie du dirigeant au sein de lentreprise1 (Paquerot, 1996),
des mcanismes doivent tre mis en place pour rguler ces comportements
opportunistes.
1. Le cycle de vie des dirigeants comprend trois phases : une phase de valorisation, une
phase de rduction des moyens de contrle et une phase daugmentation de la
consommation. Lors de la premire phase les dcisions prises seront ncessairement en
phase avec les attentes des actionnaires.
Des rgles sont galement venues du droit positif pour enrichir ou conforter
les recommandations des codes de bonnes pratiques. Aux tats-Unis, la loi
Sarbanes-Oxley contribue, par le biais de diffrentes sections, restaurer la
confiance perdue des investisseurs suite aux scandales financiers Enron et
Worldcom. En France, la loi NRE (Nouvelles Rgulations conomiques)
positionne le droit franais par rapport des positions divergentes dans les
rapports. Ce texte a t complt par la loi de Scurit Financire
daot 2003, pendant de la SOX aux tats-Unis.
Groupe Eyrolles
En pratique
Les principales dispositions des rapports franais et lois en matire de
corporate governance
1995 - Rapport Vinot I Le conseil dadministration des socits cotes
(AFEP et CNPF)
Incitation pour le conseil dadministration se pencher rgulirement
sur sa composition, son organisation et son mode de fonctionnement au
travers dune auto-valuation.
Raffirmation des missions du conseil dadministration.
Propositions sur le principe de croisement des administrateurs, le
nombre de mandats dadministrateur et les droits et devoirs des administrateurs, la cration de comits, lentre dadministrateurs indpendants.
1996 - Rapport Marini Chapitre III. Promouvoir un meilleur quilibre
des pouvoirs et des responsabilits au sein de lentreprise dun rapport
visant la modernisation du droit des socits franais
Constat dun double dsquilibre imputable notre droit des socits :
suprmatie des fonctions de direction sur celles de contrle et suprmatie des contrles de type judiciaire sur ceux de type interne exercs par
les actionnaires et/ou les commissaires aux comptes.
Proposition sur la possibilit de dissocier dans les statuts les fonctions de
prsident du Conseil dAdministration de celles de directeur gnral.
Proposition pour limiter le nombre de mandats dadministrateurs pour un
travail plus effectif du fait dune plus grande disponibilit ainsi que de
lgifrer pour donner plus defficacit et de poids aux comits.
1999 - Rapport Vinot II Rapport sur le gouvernement dentreprise (AFEP
et MEDEF)
Ralliement une possible dissociation des fonctions de prsident et de
directeur gnral.
Groupe Eyrolles
Cette vision de la gouvernance est aujourdhui dominante dans les conomies utilisant comme circuit de financement principal le march financier.
Nonobstant, cette approche souffre de limites. Selon cette conception, les
autres parties prenantes (stakeholders) ne peuvent prtendre une rmunration, dans la mesure o ils ne prennent pas de risques. En effet, les contrats
signs les protgeraient totalement. Par exemple les salaris, en acceptant une
Groupe Eyrolles
largissement des pouvoirs de contrle avec la possibilit pour les associations dinvestisseurs dagir en justice pour la dfense de tout prjudice direct ou indirect lintrt collectif des investisseurs.
rmunration fixe, indpendante des rsultats de lentreprise limitent fortement leurs risques et de fait devraient renoncer leurs droits sur la rente rsiduelle. A contrario, lapport financier des actionnaires est soumis au risque
dopportunisme des dirigeants. Les propritaires sont donc obligs dassumer
le contrle des dirigeants pour se protger dune perte financire. Lapproche
partenariale remet en cause ce postulat que seuls les actionnaires courent un
risque, conduisant une dfinition diffrente de la gouvernance (Caby et
Hirigoyen, 2005).
Groupe Eyrolles
salari dvelopper du capital spcifique peut tre remise en cause et compromettre la cration de valeur. Pour Caby et Hirigoyen (2005), dans la
mesure o il nest pas envisageable de supprimer le risque en garantissant aux
employs la prennit de la relation demploi, seule la rmunration du
risque semble concevable, et en consquence, les salaris sont des cranciers
rsiduels comme les actionnaires .
Les rapports dictant des codes de bonnes pratiques en matire de gouvernance sont peu nombreux prendre appui sur cette vision partenariale. Le
rapport Vinot I se fait lambition de privilgier ce positionnement
lorsquil annonce la primaut accorde lintrt social sur lintrt des
actionnaires ; mais sans que cela ressurgisse clairement au niveau des
recommandations. En revanche, des mcanismes comme la cration au
sein des entreprises de direction de la dontologie et de lthique traduisent une timide reconnaissance pratique de cette conception plurale de
lorganisation (Caby et Hirigoyen, 2005). De la mme faon, le dveloppement de lactionnariat salari peut tre considr comme en adquation
avec cette vision du corporate governance. Blair (1997) a mis en vidence que
Groupe Eyrolles
La prise en considration de lensemble des parties prenantes comme propritaires de lentreprise change le rle du processus de corporate governance.
Daprs Charreaux (2004), le problme majeur en termes de gouvernance
nest [plus] pas la tricherie managriale, mais lappropriabilit des actifs
critiques . La volont des dirigeants doit tre de crer un climat de confiance
et de coopration, condition ncessaire la cration de valeur. Il sagit pour
les dirigeants de sassurer quaucun stakeholder ne saccapare durablement une
part de richesses trop importante au dtriment des autres. La gouvernance de
lentreprise consiste alors rendre possible la coopration des parties prenantes
composant lentreprise. Le systme de gouvernance constitue donc un
ensemble de mcanismes permettant une allocation optimale de la rente organisationnelle entre les diffrentes parties prenantes de lentreprise. Lobjectif
est de minimiser les pertes engendres, prcisment par les conflits lis aux modalits
de partage de la rente organisationnelle (Caby et Hirigoyen, 2005). Charreaux
(1997) considre que dans cette vision partenariale le rle du systme de gouvernance est de faire pression sur les dirigeants de faon ce que leurs activits de cration et de redistribution de rentes satisfassent lensemble des
stakeholders et assument la viabilit globale et indpendante de la coalition,
vitant ainsi les situations de crise qui se traduisent soit par un clatement de la
coalition, soit par une spoliation dun groupe de stakeholders prisonniers de
leurs transactions .
la rmunration des employs par des actions des entreprises peut fournir un mcanisme destin encourager et protger les investissements en
capital humain spcifique .
Que la vision soit actionnariale ou partenariale, les deux reposent sur une
reprsentation contractuelle de lorganisation. Lentreprise est un nud de
contrats ncessitant de mettre en place des dispositifs pour prvenir ou agir sur
des conflits entre parties prenantes lentreprise. Le courant cognitif propose
un autre cadre conceptuel pour apprhender la gouvernance.
Groupe Eyrolles
Le recours aux thories de la cognition permet dlargir le concept de gouvernance en abandonnant la reprsentation de lorganisation comme un nud de
contrats. En effet, cette dernire conception prsente linconvnient de considrer la cration de valeur comme donne. Charreaux (2004) sexprime en ces
termes : la valeur est maximise un instant donn, lensemble des opportunits dinvestissement tant suppos connu au moins des dirigeants et le choix
des investissements se faisant selon lanalogie du menu. La ralit des organisations met en exergue que la cration de valeur rsulte dun processus et non
pas dune procdure dallocation de linformation (Depret et Hamdouch,
2005). Lapprhension de lorganisation comme un lieu de production de
connaissances prsente lavantage de sintresser au processus de cration de
valeur, dans la mesure o elle est le lieu le plus adapt pour favoriser le processus de cration de connaissances et dapprentissage collectif (Dosi, 1988). En
effet, ce processus rsulte de la capacit de lentreprise crer de la
connaissance, cest--dire de son aptitude construire les opportunits de
croissance (identifier et mettre en uvre des investissements rentables), dans
lobjectif dune cration de valeur durable. Favoriser le processus de cration de
connaissances passe par lexistence de conflits dordre cognitifs1.
Lapproche cognitive de lentreprise ne renvoie pas la mme approche de la
gouvernance de lentreprise que celle dcrite par le courant disciplinaire.
Alors que dans ce dernier, le systme de gouvernance se donne pour objectif
de minimiser les conflits dintrts, le systme de gouvernance li la conception cognitive se doit de crer un environnement propice aux dveloppe1. Foss a dmontr que linnovation tait favorise par la coexistence de schmas cognitifs
conflictuels. Foss, N., (1996), Capabilities and the Theory of the Firm , Revue
dconomie Industrielle, n77, troisime trimestre, pp. 7-28.
ments des conflits cognitifs qui feront merger par mulation les
investissements rentables (Charreaux, 2004). Dans cette perspective, le rle
de la gouvernance est de sassurer que les procdures de prise de dcision au
sein de lorganisation seront rellement efficientes . Pour cela, les mcanismes de gouvernance de lentreprise doivent tre conus dans loptique
dassister le management dans la phase dlaboration des orientations stratgiques. Ceci sous-tend de crer un climat organisationnel propice aux
apprentissages (conflits cognitifs) dans le but de faire merger des voies de
croissance. Cette dimension de la gouvernance est qualifie par Charreaux
de dimension habilitante. Pour tre totalement efficace, elle doit saccompagner dune dimension contraignante. Afin que les conflits cognitifs ne
dclenchent une situation de blocage, des mcanismes doivent exister pour
servir des contraintes aux choix stratgiques des managers notamment en
affichant des dispositifs de sanction en cas dchec ou de non-ralliement aux
modles cognitifs dominants.
Groupe Eyrolles
Ces deux dimensions rapprochent finalement les deux courants de la gouvernance dentreprise tout en inscrivant le systme de gouvernance en
priorit dans la perspective dasseoir la capacit dinnovation et dapprentissage de lorganisation. Ce dernier se doit alors doptimiser le potentiel
de cration de valeur par linnovation et lapprentissage, tout en dveloppant conjointement des mcanismes doptimisation de la latitude managriale. Charreaux (2004) prsente le modle de Lazonick et OSullivan
(2000) de la firme innovatrice comme une parfaite illustration de ce rapprochement des courants. Selon ce modle, le systme de gouvernance
doit permettre :
lengagement financier, de faon permettre non seulement le dveloppement des comptences, mais galement dobtenir le dlai suffisant pour
que les investissements porteurs dinnovation soient rentables ;
lintgration organisationnelle incitant les acteurs internes investir leurs
comptences et leurs efforts en fonction des objectifs de la firme ;
la matrise du processus de dveloppement qui repose sur leur exprience
et leur interprtation (Charreaux, 2004).
nance de lentreprise. Elle peut effectivement agir la fois, pour reprendre les
termes de Charreaux (2002), sur la dimension habilitante , mais aussi sur la
dimension contraignante de la gouvernance de lentreprise.
Groupe Eyrolles
Charreaux (1987) propose de distinguer les mcanismes externes des dispositifs internes. Les premiers relvent de la discipline de march, cest--dire
que ce dernier fait directement pression sur le comportement des dirigeants.
Par exemple, le march financier [ la condition quil soit liquide] intervient comme un mcanisme de contrle dans la mesure o les actionnaires
mcontents peuvent se dfaire de leurs titres en entranant ainsi une baisse
(Caby et Hirigoyen, 2005). Le march du travail et le march des biens et
services sont dautres exemples de mcanismes externes susceptibles de dlimiter les pouvoirs et dinfluencer les dcisions des dirigeants. Les systmes
internes sont construits au sein mme de lentreprise. Parmi ceux-ci, le conseil dadministration, au travers de son rle et de sa constitution, constitue un
pilier repris dans les nombreux rapports sur les bonnes pratiques de gouvernance. En tant quvaluateur et organe de ratification des dcisions dinvestissement long terme et de contrle de la performance des principaux
dirigeants (Fama et Jensen, 1983), la composition et la structuration du conseil dadministration revt une importance primordiale. ct de ce mcanisme, la structuration du capital et la politique dendettement reprsentent
des moyens de contrle coercitifs pour mettre en adquation le comportement des dirigeants avec les intrts des actionnaires.
Caby et Hirigoyen (2005) prfrent distinguer mcanismes dincitations
financires et mcanismes de contrle : Nous avons souhait retenir une
autre distinction, dans la mesure o il semble que les mcanismes de contrle
se caractrisent plus par une notion dincitation ngative, autrement dit, une
sanction potentielle, et les incitations financires par une notion dincitation
positive, une rmunration supplmentaire potentielle. Cette typologie conduit ranger au titre des mcanismes de contrle lensemble des mcanismes
voqus prcdemment dans la typologie et prenant appui sur la typologie de
Charreaux. Les mcanismes dincitations financires consistent indexer la
rmunration des dirigeants sur la performance de lentreprise en retenant
comme critre dvaluation de la performance un critre actionnarial. Lindexation peut, par exemple, prendre la forme dun plan de stock-options qui va inciter les dirigeants maximiser la valeur de march des capitaux propres afin de
bnficier lors de lexercice de loption, du gain le plus lev possible.
Le tableau ci-aprs dresse et commente quelques mcanismes de gouvernance de lentreprise afin de mettre en vidence en quoi ils apportent des
solutions pour limiter les conflits dintrts au sein de lorganisation, ou plus
rarement une aide au management.
Tableau n 1 - Quelques mcanismes de gouvernance de lentreprise
Mcanismes
Description
Le march du travail
(contrle externe
et mcanisme de
contrle)
Groupe Eyrolles
Groupe Eyrolles
1. Pig distingue, dun point de vue partenarial, trois niveaux dasymtrie dinformation
au sein du gouvernement dentreprise : lasymtrie dinformation entre dirigeants et
conseil dadministration, celle entre les actionnaires et leurs reprsentants les administrateurs et celle entre les investisseurs potentiels et les dirigeants de lentreprise.
Groupe Eyrolles
Groupe Eyrolles
La norme 2 130
Au sein des normes de fonctionnement, une norme explicite la mission
dvaluation par laudit interne du processus de gouvernance de lentreprise.
Il sagit de la norme 2 130, prcisant les attentes concernant cette mission.
Laudit interne doit valuer le processus de gouvernement dentreprise et
formuler les recommandations appropries en vue de son amlioration.
cet effet, il dtermine si le processus rpond aux objectifs suivants :
promouvoir des rgles dthique et des valeurs appropries au sein de
lorganisation ;
garantir une gestion efficace des performances de lorganisation, assortie
dune obligation de rendre compte ;
Problme de compatibilit
Cette norme 2 130 soulve un vritable problme de compatibilit avec la
participation directe de laudit interne au processus de corporate governance. Ce
concours actif au processus de management permet-il la fonction dapporter une valuation totalement objective du processus de gouvernement
dentreprise ? tre la fois juge et partie ne fait-il pas peser un risque daltration de lvaluation ? De surcrot, cette participation semble en totale contradiction avec la norme de qualification, selon laquelle les auditeurs
internes doivent tre indpendants des activits quils auditent cest--dire
que les domaines dans lesquels intervient lauditeur interne ne sauraient tre
audits par lintress . Pour expliciter ce risque daudit2, il est possible de
rapprocher certains objectifs du processus de gouvernance dentreprise que
doit vrifier laudit interne des principales normes pour la pratique professionnelle de laudit interne.
1. Extrait de la traduction par lIfAcI des normes internationales pour la pratique professionnelle de laudit interne 2004, disponible sur le site Internet de lIfAcI
(www.ifaci.com).
2. Le risque daudit est rsiduel aprs le passage de lauditeur interne, dans la mesure o la
demande daudit porte en soi sa relativit.
Groupe Eyrolles
Ainsi, la norme 2 130 prcise que laudit interne doit prendre position sur la
capacit du processus de gouvernement dentreprise garantir une gestion
efficace des performances de lorganisation, assortie dune obligation de
rendre compte. Suite cette valuation, le fait dmettre des recommandations sur cet lment et compte tenu de sa participation au processus de gouvernement dentreprise conduit laudit interne reconnatre implicitement
que la gestion de lactivit daudit interne nest pas totalement exerce dans
Groupe Eyrolles
1. Elle prcise que si lobjectivit ou lindpendance des auditeurs internes sont compromises dans les faits ou mme en apparence, les parties concernes doivent en tre
informes de manire prcise. La forme de cette communication dpendra de la
nature de latteinte lindpendance.
2. Ni la loi NRE du 15 mai 2001, ni la loi de Scurit Financire du 1er aot 2003 ne
comportent darticles exigeant la mise en place de comits daudit.
Groupe Eyrolles
En vertu de la huitime directive de lUE, les comits daudit, dont les fonctions sont prcisment dfinies, seront rendus obligatoires en France dici
quelques annes dans les socits cotes. Larticle 39-2 de cette directive prcise les missions relevant du comit daudit :
suivi du processus dlaboration de linformation financire ;
En pratique
Les principales dispositions de la loi SOX en matire de comit daudit
Section 202
Le comit daudit, ou les membres dsigns du comit pr approuve(nt)
tout service fourni par lauditeur indpendant.
Section 204
Le comit daudit tient des discussions rgulires avec lauditeur indpendant concernant :
toute politique ou pratique comptable importante ;
tout traitement alternatif de linformation financire dans le cadre des
PCGR1 ayant t discuts avec la direction (incidences dun tel traitement,
position de lauditeur indpendant) ;
toute autre communication crite entre lauditeur et la direction, dont les
lettres daffirmation de cette dernire et le sommaire des carts non ajusts.
Section 301
Le comit daudit est compos intgralement dadministrateurs qui respectent les exigences dindpendance, y compris sur les questions de
rmunrations, de la loi et des rglements correspondants propres aux
autorits boursires.
le comit daudit a le pouvoir dengager des conseillers indpendants
dans la mesure o il le juge ncessaire.
le comit daudit a le pouvoir de runir les fonds ncessaires une
rmunration approprie des auditeurs indpendants et de tout
conseiller engag par ses soins.
le comit daudit est directement responsable des points suivants relatifs
lauditeur indpendant : slection, rmunration, supervision de la mission, non-renouvellement (le cas chant), arbitrage de tout conflit avec la
direction, supervision de tout problme ou de toute difficult lis laudit
ainsi que des rponses de la direction sur ces problmes ou difficults.
Groupe Eyrolles
Section 407
La compagnie doit divulguer si le comit daudit comprend au moins un
expert financier , au sens des critres tablis par la Securities Exchange
Commission. Si tel est le cas, il convient de mentionner le nom de cette personne et de prciser si elle est, ou non, indpendante de la direction. Si le
conseil dadministration tablit que le comit daudit ne compte aucun
expert financier, il convient de prciser les raisons de cette dcision.
Source : Deloitte & Touche (2003), Audit Committee Resource Guide
Groupe Eyrolles
Groupe Eyrolles
1. Les auditeurs internes aident le comit daudit sassurer de la conformit aux rgles et
aux politiques de lentreprise (application du rglement intrieur, etc.). Ils effectuent,
dans certains cas, des investigations spcifiques sur demande du comit daudit, par
exemple sur des versements douteux ou des fraudes potentielles.
Groupe Eyrolles
POUR CONCLURE
Groupe Eyrolles
La prsence du comit daudit ne constitue pas une condition suffisante pour attnuer
le risque daudit rsultant dune valuation par laudit interne du processus de
gouvernance dentreprise. Il est ncessaire que le comit daudit soit indpendant,
comptent et impliqu. Pour affirmer la qualit des valuations ralises par laudit
interne, certains souhaitent un rattachement hirarchique de laudit interne
directement au comit daudit. Si nous concevons quil doit exister un rattachement
fonctionnel de laudit interne au comit daudit, nous sommes plus rservs sur un
rattachement hirarchique, au risque de contraindre laudit interne dans le primtre
troit de laudit de conformit et defficacit.
Chapitre 6
La loi Sarbanes-Oxley
et la coopration audit interne/
audit externe
PAR LISABETH BERTIN1,
Matre de Confrences lInstitut dAdministration des
Entreprises (IAE) de lUniversit Franois-Rabelais de Tours
Groupe Eyrolles
Dans ce contexte, sachant que le contrle interne constitue une proccupation majeure de lauditeur interne et de lauditeur externe2 et le point de
convergence de leurs travaux, il apparat pertinent de sinterroger sur
limpact de ces rglementations rcentes3 sur les relations quentretiennent
1. Lauteur remercie tout particulirement Jean-Franois Dufour, Directeur des mthodes la Direction de lAudit Interne de Total, pour les pistes de rflexion suggres.
2. Par auditeur externe, il faut entendre, tout au long de ce chapitre, lauditeur lgal
appel galement auditeur statutaire, lequel est charg de certifier la rgularit, la sincrit et la fidlit de linformation comptable et financire. Ce rle est rempli par le
commissaire aux comptes en France.
3. Ne pouvant traiter lensemble des rglementations nationales dans ce chapitre, nous
focaliserons notre attention sur la loi Sarbanes-Oxley, source dinspiration pour diffrents tats et, de plus, de porte internationale. En effet, elle sapplique toutes les
entreprises amricaines et trangres cotes la Bourse de New York ainsi quaux
filiales des socits amricaines.
La sparation entre la proprit et le contrle engendre le risque que les dirigeants, par le biais de leurs dcisions, fassent diminuer la valeur des fonds qui
leur ont t confis. Ce phnomne est expliqu laide de la thorie de
lagence (Jensen et Meckling, 1976), laquelle envisage la possibilit dune
divergence dintrts entre le principal (lactionnaire) et lagent (le dirigeant).
La stakeholder-agency theory de Hill et Jones (1992) constitue une tentative
intressante dlargissement. Elle considre que tous les agents conomiques
Groupe Eyrolles
qui ont une crance lgitime sur lentreprise sont des parties prenantes ou
stakeholders, et quen tant que tels, ils sont en droit dobtenir une partie de la
rente organisationnelle et susceptibles dtre affects par des styles de gestion
inefficients (Depret et Hamdouch, 2005). Lobjectif essentiel du systme de
gouvernance savre alors de prenniser le nud de contrats constitutif de
lentreprise, et paralllement, doptimiser la latitude managriale (Charreaux, 2004). La gouvernance dentreprise recouvre ainsi lensemble des
mcanismes organisationnels qui ont pour effet de dlimiter les pouvoirs et
dinfluencer les dcisions des dirigeants, autrement dit qui gouvernent leur
conduite et dfinissent leur espace discrtionnaire (Charreaux, 1997).
Les dbats sur la gouvernance de lentreprise ont longtemps t centrs
sur les aspects financiers, cherchant amliorer la qualit du reporting
financier, en renforant notamment le rle de lauditeur lgal. Les dispositions lgales les plus rcentes en matire de gouvernance dentreprise (loi
Sarbanes-Oxley notamment) sont plus explicitement destines amliorer les mcanismes de contrle interne, se fondant sur lhypothse dune
relation forte entre le contrle interne, la qualit du reporting financier et
la gouvernance de lentreprise. Mme si elles ne font pas rfrence directement laudit interne, ces nouvelles rglementations confortent la lgitimit de la fonction daudit interne et son triple rle, eu gard la
gouvernance. Les complmentarits entre lauditeur interne et lauditeur
externe justifient leur coopration.
Groupe Eyrolles
De plus, les mcanismes de contrle professionnel se sont intensifis ces dernires annes, notamment aux tats-Unis avec la cration du Public Company Oversight Board (PCAOB) institu par la loi Sarbanes-Oxley, et en
France avec la cration du Haut Conseil du Commissariat aux Comptes
Groupe Eyrolles
La qualit de laudit externe implique que lauditeur dcouvre dventuelles fraudes ou irrgularits dans les tats financiers du client et quil
soit en mesure de les rvler effectivement (De Angelo, 1981a ;
De Angelo, 1981b). La premire condition repose sur la comptence globale de lauditeur et sur le niveau deffort quil engage dans la mission.
Ceux-ci sont garantis par la possession obligatoire dun diplme professionnel spcifique, les exigences en matire de formation continue et
lobligation de moyens laquelle il est soumis. La seconde condition
dpend du niveau dindpendance de lauditeur, cest--dire du degr
avec lequel il peut rsister aux pressions exerces par son client dans une
situation de conflit dintrt. Son indpendance est protge juridiquement et statutairement : le contenu et ltendue de la mission, les incompatibilits, les modes de nomination et de rmunration, les conditions
dexercice de la mission daudit sont dfinis dans des textes lgislatifs, dans
les normes de la profession et dans les statuts.
Groupe Eyrolles
Laudit interne est dfini comme une activit indpendante et objective qui
donne une organisation une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils pour les amliorer et contribue crer de la
valeur ajoute. Il aide cette organisation atteindre ses objectifs en valuant,
par une approche systmatique et mthodique, ses processus de management
des risques, de contrle et de gouvernement dentreprise, et en faisant des
propositions pour renforcer leur efficacit (IIA, 1999 ; IFACI, 2002).
Les auditeurs internes portent une double casquette : ils assurent la fois une
mission dassurance et une autre de conseil. Le rle de laudit interne est dtermin par la direction et ses objectifs varient selon les exigences de celle-ci.
Adams (1994), prenant appui sur la thorie de lagence et se fondant sur
limportance de lasymtrie informationnelle entre dirigeants et actionnaires,
indique que la prsence ou non dun dpartement daudit interne dans une
organisation, ainsi que la nature des activits ralises par cette fonction,
semblent dpendre en grande partie du secteur dactivit, de la taille de la
firme et de la structure de lactionnariat. Mais, comme pour lauditeur
externe, la prise en considration de la seule relation dirigeant/actionnaire
est insuffisante pour lgitimer le rle de laudit interne, dautant que cette
fonction exerce une mission qui dpasse trs largement le cadre du domaine
financier. Laudit interne reprsente un mcanisme de rgulation des relations entre le dirigeant et les diffrentes parties prenantes. Il peut tre considr comme un cot de ddouanement support par lagent pour signaler
ses mandants (diffrents stakeholders) quil agit conformment leurs intrts.
Plusieurs facteurs semblent garantir lobjectivit et lindpendance des auditeurs internes : leur rattachement au plus haut niveau dans lorganisation et
lexistence dun canal de communication spcifique (comit daudit) permettant de rapporter les erreurs et les irrgularits (Ponemon, 1991).
1. LInternational Federation of Accountants Ethics Committee de lInternational Federation of Accountants (IFAC) a publi en juin 2005 le Code of Ethics for Professional
Accountants. LIFAC est lorganisation mondiale de la profession comptable, charge de
dvelopper des normes internationales sur laudit lgal, les missions dassurance, lthique et la formation des professionnels comptables. En France, le Code de dontologie de
la profession de commissaire aux comptes de la CNCC a t approuv par le dcret du
16 novembre 2005.
En pratique
En matire de gouvernance, lauditeur interne remplit un triple rle : il est
la fois partie prenante (ou dispositif de mise sous contrle de lorganisation), juge et conseiller. En tant que juge et conseiller, il doit fournir des valuations indpendantes objectives sur la pertinence et lefficacit de la
structure et des mcanismes de gouvernance et, agir en tant que catalyseur
du changement en prconisant des amliorations, afin daccrotre lefficacit du processus de gouvernance. Le rle de laudit interne en matire de
gouvernance dpend du degr de maturit de la structure et du processus
de gouvernance de lentreprise (IIA, 2006).
Statut de laudit
Mandants/bnficiaires de laudit
Audit interne
Mcanisme spcifique/interne
Mcanisme intentionnel
Groupe Eyrolles
Audit externe
Audit externe
Champ dapplication de laudit
Global
Aval
Amont
Lauditeur interne identifie et value les risques avant quils ne
soient traduits dans les comptes.
Temporalit de la
mission daudit
Mission continue
Mission permanente dans les
Suivi des recommandations
textes
Mission gnralement intermittente dans les faits
Mission dassurance
Mission dassurance
Mission de conseil
Position eu gard
la gouvernance
Dynamique de
laudit
Stabilit
Lauditeur externe ralise le
mme type daudit chaque
anne ; il est en relation avec
les mmes interlocuteurs dans
les mmes services.
Indpendance
Protge juridiquement
Diffusion du/des
rapports daudit
Groupe Eyrolles
Audit interne
Connaissance approfondie de
lentreprise et du secteur
constitue lun des dispositifs mis en uvre pour empcher ou rduire les
conflits dintrts entre parties prenantes lentreprise (Charreaux, 2004).
Laudit interne, parce quil remplit, ct dune mission traditionnelle
dassurance, une mission de conseil, est un mcanisme de gouvernance lgitim la fois par le courant disciplinaire et par le courant cognitif de la gouvernance. Selon ce dernier, lorganisation est apprhende comme un lieu
de connaissances et le systme de gouvernance devient lensemble des
mcanismes permettant davoir le meilleur potentiel de cration de valeur
par lapprentissage et linnovation (Charreaux, 2004). Lindpendance de
lauditeur interne ntant pas protge juridiquement comme celle de lauditeur externe, et lauditeur interne tant un membre part entire de lorganisation contrle, on pourrait tre tent de dire que laspect disciplinaire est
moins puissant que dans le cas de lauditeur externe.
On comprend alors que la coopration entre audit interne et audit externe
savre source de bienfaits non ngligeables. Le processus daudit global (audit
interne plus audit statutaire) constitue un dispositif agissant simultanment sur
les dimensions disciplinaires et cognitives du processus de cration/rpartition
de la valeur. Il participe ainsi la reconstruction de la vision financire de la
gouvernance largie aux dimensions cognitives (Charreaux, 2004).
Linteraction donne naissance des effets de synergie en matire de comptences. La multiplication des points de vue et le partage des informations
renforce la comptence de chacun.
L o existe une fonction daudit interne, lauditeur externe apprcie diffremment les qualits de rgularit et de sincrit des comptes qui lui sont
prsents. L o un auditeur externe exerce son activit, la matrise des affaires sen trouve renforce. Chacun peut se prvaloir des travaux de lautre
pour asseoir son jugement ou tayer sa dmonstration (Renard, 2006).
Enfin, une collaboration troite des deux organes permet de raliser des conomies de cots, par rapport une situation o les deux acteurs travailleraient compltement sparment. Selon Felix et al. (2001) et Haron et al.
(2004), la participation de laudit interne laudit statutaire permet dabaisser
le montant des honoraires verss aux auditeurs externes. Cet argument revt
un intrt particulier dans un contexte de pression sur les honoraires des
contrleurs lgaux des comptes. Lefficience de lentreprise se trouve ainsi
Groupe Eyrolles
Si les avantages en matire de partage des connaissances et de complmentarit des comptences sont vidents, les effets de synergie en termes dindpendance restent cependant dmontrer.
Groupe Eyrolles
quils ont valu lefficacit des procdures de contrle interne dans les
90 jours prcdant le rapport et quils ont prsent dans le rapport leurs
conclusions rsultant de cette valuation au sujet de lefficacit des procdures de contrle interne ;
quils ont divulgu aux auditeurs externes ainsi quau comit daudit,
toutes les dfaillances significatives relatives la conception et la mise en
uvre des procdures de contrle interne, ainsi que toute fraude qui compromet le management et toute personne implique dans les procdures de
contrle interne ;
quils ont indiqu dans le rapport sil y a eu ou non des changements dans
les procdures de contrle interne y compris les mesures correctrices destines remdier aux faiblesses du contrle interne aprs leur valuation.
1. Afin de certifier la rgularit, la sincrit et la fidlit des tats financiers, lauditeur externe
doit apprcier les dispositifs de contrle interne de nature financire et comptable.
2. Au niveau national, de telles normes ont galement t publies. En France, par exemple, la CNCC a mis en 2006 les Normes dExercice Professionnel (NEP) 315, 330,
500, qui correspondent ladaptation des normes ISA correspondantes. La huitime
directive europenne rvise (2006) rend obligatoire lapplication des normes ISA dans
tous les pays de lUE.
Groupe Eyrolles
Groupe Eyrolles
Si la loi Sarbanes-Oxley spcifie le rle de la direction et des auditeurs externes en matire de contrle interne, elle ne traite pas spcifiquement du rle
de lauditeur interne.
Selon lIIA (2004), limplication de laudit interne dans la mise en conformit avec la loi Sarbanes-Oxley est importante et doit tre compatible avec
les normes professionnelles. En particulier, la fonction daudit interne ne
doit pas compromettre son objectivit et son indpendance. LIIA prcise
que le dpartement daudit interne doit intervenir quatre niveaux : la
supervision du projet, le conseil et la documentation, les contrles et les tests,
laudit de projet. En ce qui concerne la supervision du projet, lauditeur
interne doit agir en tant que facilitateur entre la direction et les auditeurs
externes. LIIA prconise que lauditeur interne se comporte en coordinateur
entre la direction et les auditeurs externes, en ce qui concerne le champ et le
programme des contrles. Ainsi, il accrot la conscience des dirigeants en
matire de risques et de contrles, amliore lenvironnement de contrle et
contribue la rduction des honoraires des auditeurs externes. En ce qui
concerne laudit de projet, il joue un rle dassurance des diffrentes parties
Les deux professions sont rgies au niveau international par des normes professionnelles dictes par leur association professionnelle respective : lIIA et
lIFAC. Ces organismes ont publi des normes prcisant le domaine et
ltendue de la collaboration entre laudit interne et laudit externe :
Groupe Eyrolles
Comparatif
Une comparaison des normes 2 050 de lIIA et 610 de lIFAC est mene au
travers des quatre points suivants (voir tableau n 2) :
lobjectif et lintrt dune coopration audit interne/audit externe ;
le champ dintervention et la dlimitation des responsabilits ;
lvaluation respective des travaux et des performances ;
les rencontres et les informations changes.
Tableau n 2 - Une comparaison des normes IIA 2 050 et ISA 610
Groupe Eyrolles
Objectifs et
intrt de la
coopration
Audit interne
Norme IIA 2 050
Audit externe
Norme ISA 610
1. Par exemple la NEP (Norme dExercice Professionnel) 610 produite en 2007 par la
CNCC en France et adaptant la norme ISA 610. Rappelons que la huitime directive
europenne (2006) rend obligatoire lusage des standards internationaux daudit (ISA)
dans la conduite des audits statutaires en Europe.
2. Le Comit de Ble, dans son document publi en aot 2001 sur laudit interne dans
les banques et les relations des autorits de tutelle avec les auditeurs stipule que les
autorits de tutelle doivent encourager les auditeurs internes et externes de faon
rendre leur collaboration aussi relle et efficace que possible. () La coopration entre
autorit de tutelle, auditeur interne et auditeur externe a pour objectif de rendre les
travaux de toutes les parties concernes plus rationnels afin doptimiser le contrle.
Audit interne
Norme IIA 2 050
Audit externe
Norme ISA 610
Champ
dintervention et dlimitation des
responsabilits
valuation
respective
valuation de la performance
des auditeurs externes
En exerant son rle de surveillance, le Conseil peut demander au responsable de laudit
interne dvaluer la performance
des auditeurs externes. Elle peut
couvrir notamment les points suivants : connaissances et expriences professionnelles,
connaissance du secteur dactivit
de lorganisation, indpendance,
expertises directement lies la
mission, anticipation des besoins
de lorganisation et ractivit, relative stabilit des principaux collaborateurs, qualit des relations de
travail, respect des engagements
contractuels. ()
Groupe Eyrolles
Groupe Eyrolles
Rencontres
et changes
dinformations2
Audit interne
Norme IIA 2 050
Audit externe
Norme ISA 610
1. LIfAcI, dans sa version franaise de la norme, ajoute : Laudit interne peut galement
jouer un rle fondamental en alertant la direction gnrale et/ou le comit daudit
lorsque la pression exerce sur les commissaires aux comptes et les rductions dhonoraires ne permettent plus dassurer lefficacit et la qualit de leurs travaux de
contrle.
2. Les changes dinformations doivent respecter les rgles de confidentialit attaches
aux deux fonctions. Celles-ci sont prcises par la norme 2 440 de lIIA, pour ce qui
est de laudit interne et dans le Code de dontologie de lIFAC, pour ce qui est de
laudit externe.
Audit interne
Norme IIA 2 050
Audit externe
Norme ISA 610
Une reformulation de lISA 610 est en cours. Des propositions sont avances
par lIFAC, mais ne sont pas encore valides lheure o nous rdigeons
cette contribution. Pour information, lIFAC envisage essentiellement trois
actions. Il sagit tout dabord de supprimer certaines phrases redondantes
avec des informations contenues dans une autre norme.
Il faut galement donner un autre statut certains paragraphes, qui sont
levs au rang dobjectif ou dexigence. Notamment, la nouvelle version
pourrait prciser que lobjectif de lauditeur externe est dacqurir une
connaissance suffisante de la fonction daudit interne et de dterminer si les
activits de la fonction daudit interne sont utiles pour programmer et raliser laudit, si elles sont pertinentes, leur effet sur les procdures mises en
uvre par lauditeur externe. De mme, lIFAC pourrait considrer comme
imprative lvaluation des contraintes et des restrictions imposes par la
direction et pesant sur la fonction daudit interne.
Enfin, la troisime action consiste intgrer de nouvelles informations afin
de rendre la norme ISA 610 plus cohrente avec les normes mises rcemment. Par exemple, on pourrait lire : lauditeur veillera acqurir une
connaissance suffisante de la fonction daudit interne en conjonction avec le
contrle interne.
Ainsi, les deux normes reconnaissent la complmentarit des deux professions et lintrt dune coopration entre elles, afin daccrotre lefficacit et
lefficience du processus daudit global. Elles suggrent nanmoins la possibilit de divergences dans la collaboration audit interne/audit externe.
Groupe Eyrolles
Groupe Eyrolles
Quelques divergences
Dune part, linteraction audit interne/audit externe peut tre absente, occasionnelle, rgulire ou frquente. Les normes mettent laccent sur la ncessit pour les auditeurs internes et externes de se rencontrer rgulirement.
Cependant, elles ne nous disent rien quant la frquence et la dure de ces
runions. De mme, elles ne prcisent pas la configuration de ces
rencontres : runions en tte--tte, en prsence de membres du comit
daudit, en prsence de la direction gnrale, etc.
Dautre part, la coopration revt plusieurs formes. En labsence de collaboration, on parlera de simple coexistence des deux organes de gouvernance.
Quant au niveau suivant, il relve de lintgration des travaux de laudit
interne par laudit externe. Les auditeurs externes sappuient sur les travaux
des auditeurs internes de deux faons : soit en leur demandant deffectuer
des tches spcifiques, soit en faisant confiance aux tests et aux rapports quils
ont raliss de leur ct. Cependant, lauditeur externe ne saurait utiliser les
travaux de laudit interne sans avoir valu auparavant leur qualit intrinsque et la qualit de leurs auteurs. Laudit interne peut alors tre
subordonn laudit externe. En aucun cas, lauditeur externe ne peut
tre subordonn laudit interne. La norme ISA 610 met laccent sur
cette approche de la coopration.
Enfin, le dernier niveau est celui de partenariat. Dun ct, chaque acteur a
besoin de lautre pour atteindre ses propres objectifs. De lautre, il sagit de
mettre en commun, de partager et de produire conjointement des connaissances, de svaluer rciproquement, afin datteindre un objectif commun :
accrotre lefficacit du processus daudit global. En vue dune meilleure
comprhension et dune plus grande efficacit, il est primordial que les deux
acteurs utilisent le mme langage, les mmes rfrentiels. Nous pensons l au
rfrentiel de contrle interne, notamment. Le partenariat peut tre informel ou formel. La formalisation peut tre organisationnelle (supervision de
la part du comit daudit) ou procdurale (validation, valuation). Le partenariat suppose une interaction symtrique1. La norme IIA 2 050 privilgie
cette approche de la coopration.
1. Elle se caractrise par lgalit et la minimisation de la diffrence, tandis quune interaction complmentaire se fonde sur la maximisation de la diffrence. Dans la relation
complmentaire, lun des partenaires occupe une position diversement dsigne
comme suprieure, premire ou haute (one-up), et lautre la position correspondante dite infrieure, seconde ou basse (one-down). Le contexte social ou culturel
fixe dans certains cas une relation complmentaire. (Watzlawick, P. et al., Une logique de
la communication, Le Seuil, 1972).
Cette thorie tudie pourquoi il existe, ct du march, des modes alternatifs de coordination des activits des agents conomiques, telles que les organisations et plus spcifiquement lentreprise. Il existe un cot (de transaction)
recourir au march. Plusieurs facteurs sont lorigine des cots de
transaction : dune part, humains (opportunisme dans les transactions, nature
de linformation, rationalit limite) et, dautre part, lis lenvironnement
de lentreprise (incertitude1, spcificit des actifs2, frquence des transac1. Lincertitude renvoie la survenance dalas lis aux transactions.
2. Un actif, matriel ou humain, est spcifique quand une transaction requiert un investissement durable et que celui-ci est peu (ou non) redployable sur une autre transaction.
Groupe Eyrolles
La thorie des cots de transaction (Williamson, 1985 et 1991) est approprie pour expliquer limpact du niveau de complexit du secteur dactivit
et de lorganisation sur la coopration audit interne/audit externe.
tions). Lentreprise existe, car elle permet de rduire les cots de transaction :
un contrat unit plusieurs personnes pour effectuer des tches sans recourir au
march et donc au prix.
Morill et Morill (2003), se fondant sur la thorie des cots de transaction,
dmontrent que les auditeurs internes sont davantage impliqus dans des
audits lgaux qui exigent une importante connaissance spcifique. Linvestissement spcifique reprsente un dterminant plus important que lincertitude comportementale, pour expliquer lengagement des auditeurs internes
dans laudit statutaire.
En pratique
Dans une entreprise industrielle trs internationalise et trs diversifie, ou
oprant dans un secteur dactivit complexe (exploration ptrolire, etc.),
les rapports des missions daudit interne apportent une connaissance prcieuse des activits oprationnelles aux auditeurs externes, ce qui les aide
comprendre lactivit et mieux valuer les risques.
Groupe Eyrolles
Zain et al. (2006) indiquent une association positive entre la taille du dpartement daudit interne et le niveau dexprience en audit des personnes du
dpartement, dune part, et la contribution de laudit interne laudit
externe, dautre part. Les auteurs ne prcisent pas si le niveau dexprience
en audit des auditeurs internes est en audit interne ou en audit externe.
La nature de la relation entre les dirigeants et la fonction daudit interne peut
compromettre lobjectivit de laudit interne et porter prjudice son
indpendance. Si lon se rfre la thorie de lagence, les dirigeants peuvent
inciter les auditeurs internes ne pas mettre en lumire dventuels dysfonctionnements traduisant leur incomptence ou leurs pratiques frauduleuses.
Plumlee (1985), Harrell et al. (1989) et Al-Twaijry et al. (2003) confirment
lexistence de menaces lindpendance de laudit interne.
En pratique
Dans certains pays et dans certaines entreprises, les auditeurs internes rapportent uniquement aux managers, ont un champ dactivit limit, une libert
dinvestigation rduite et entreprennent parfois des activits loignes de
laudit. Harrell et al. (1989) avancent que les auditeurs membres de lIIA sont
plus susceptibles de rsister aux diverses pressions que les autres.
Le niveau dautorit devant lequel les auditeurs internes sont responsables est
le plus important des critres affectant le niveau dindpendance et dobjectivit des auditeurs internes. Et seul un service daudit interne indpendant est
peru comme performant (Clark et al., 1981).
Groupe Eyrolles
Les opportunits de carrire offertes par lentreprise constituent un autre facteur prendre en compte. Si elles sont susceptibles daccrotre la motivation
et la performance de laudit interne (Albrecht et al., 1988 ; Ridley et Chambers, 1998), elles peuvent galement porter atteinte lobjectivit des auditeurs en les rendant plus rticents sopposer un audit qui pourrait tre
leur futur suprieur hirarchique (Goodwin et Yeo, 2001).
Groupe Eyrolles
Performance
Objectivit et indpendance
1. Selon la norme ISA 200, le risque inhrent correspond la possibilit quune assertion
comporte une anomalie qui pourrait tre significative individuellement ou cumule
avec dautres anomalies, nonobstant les contrles existants. Il sagit dun risque propre
lentit, indpendamment de laudit des tats financiers.
1. Selon ce texte, lindpendance des membres du comit daudit implique que les personnes sigeant au comit daudit ne sauraient : (i) recevoir de la socit une rmunration au titre de services de conseil, consulting ou autres rendus la socit ou (ii) tre
des affilis de la socit mettrice ou dune de ses filiales.
2. Rule 10A-3 de lExchange Act : Standards Relating to Listed Companies Audit Committees,
publie le 10 avril 2003.
Groupe Eyrolles
Groupe Eyrolles
POUR CONCLURE
La coopration audit interne/audit externe contribue amliorer le processus de
gouvernance de lentreprise, sous certaines conditions.
Groupe Eyrolles
Chapitre 7
a performance des organisations est plus que jamais au centre des proccupations en raison dune concurrence mondiale exacerbe. Lune
des composantes de cette performance rside dans le comportement thique
et responsable de ses diffrents acteurs. Or, la fin du xxe sicle, diffrents
scandales financiers, lis notamment aux affaires Enron et Worldcom, ont
clabouss la rputation dentreprises cotes et cr un climat de dfiance.
Ainsi, en juillet 2002, suite aux diffrents scandales que les tats-Unis ont
connus, le congrs a adopt la loi Sarbanes-Oxley qui impose aux socits
amricaines ou trangres cotes dans ce pays, ainsi qu leurs filiales
ltranger, de mettre en place un systme permettant aux salaris de rapporter anonymement les fraudes et les malversations comptables et financires
dont ils auraient connaissance. Le whistleblowing que lon peut traduire par
lexpression donner un coup de sifflet et qui savre une pratique rpandue dans les entreprises anglo-saxonnes dsigne donc la possibilit pour les
salaris de faire part leur hirarchie ou un comit interne des malversations dcouvertes au sein de leur organisation.
Groupe Eyrolles
Ces diffrents scandales voqus plus haut ont replac au centre des dbats la
dimension thique des diffrents acteurs de lorganisation et son influence
sur une gouvernance optimise. Mercier (2000) cite Arrow : Un contrle
dordre thique est ncessaire, les systmes juridiques et conomiques nincitant pas forcment les organisations prendre en compte limpact moral de
leurs dcisions. Il poursuit sa rflexion en notant quil est dans lintrt
des dirigeants de mieux prendre en compte le contenu thique de leur organisation dans le but de justifier leurs activits (en fonction de normes thiques et de valeurs) et de se prmunir contre dventuelles actions
rpressives .
Linstauration du whistleblowing par la loi Sarbanes-Oxley pose la problmatique de sa lgitimit thique et des modalits dapplication et de contrle,
tches qui pourraient tre confies au service daudit interne des organisations. LIfAcI dfinit laudit interne comme une activit indpendante qui
donne une organisation une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils pour les amliorer et contribue crer de la
valeur ajoute . Depuis une vingtaine dannes, les entreprises se sont dotes
de cette nouvelle fonction qui contribue amliorer la performance des
organisations. La mission des auditeurs internes consiste ainsi mettre en
place et vrifier la correcte application des procdures de contrle interne
dfinies comme les diffrents dispositifs instaurs par une socit pour dtecter, en matire de comptes, de rmunration, de stratgie, dinvestissement,
ou bien encore de risques, les fraudes, les couvertures insuffisantes, la faiblesse des performances, les dysfonctionnements et le non-respect de la
rglementation.
Le COSO, lui, dfinit le contrle interne comme lensemble des dispositifs
mis en uvre par le conseil dadministration, les dirigeants, le personnel
dune organisation et permettant de donner une assurance raisonnable quant
latteinte des objectifs suivants :
la ralisation et loptimisation des oprations ;
la fiabilit des informations financires ;
la conformit aux lois et aux rglements en vigueur.
Groupe Eyrolles
Laudit interne, lorigine garant de la scurit (protection des actifs) a progressivement largi son champ la garantie de la permanence, de lefficacit
et de lefficience du contrle de la mise en uvre de la stratgie, de lapplication des politiques, en vue datteindre les objectifs viss (Bouquin, 2000).
Groupe Eyrolles
un risque de rglement de compte sous couvert dthique ou bien une rupture de silence salutaire. La question du primtre de lexercice de ce droit
dalerte est entire. Sur quels faits le droit dalerte doit-il porter et dans quelles conditions peut-il tre exerc ?
Les premiers travaux mens sur la nature mme du whistleblowing semblent
mettre en exergue deux visions radicalement opposes : une version soft
et une autre beaucoup plus dure.
La premire version est celle du cercle dthique des affaires (2005). Il
sagit l dune alerte thique en tant quoutil, permettant aux salaris
de participer la fois la prvention des risques gnrs par lentreprise et
la promotion de ses valeurs. Pour le groupe de travail cr par le cercle
dthique des affaires, sil est mis en place en lien avec les salaris ou leurs
reprsentants et quil est conu comme un canal nouveau de libert dexpression et
non pas comme un mcanisme de contrle des salaris les uns par rapport aux
autres, alors le whistleblowing la franaise peut se rvler un outil juste et efficace pour lamlioration des comportements individuels et collectifs dans
lentreprise. Lalerte thique serait alors un nouveau canal de libert
dexpression mis disposition des salaris et constituerait ainsi un instrument supplmentaire permettant ceux-ci dexercer diffremment un
droit quils possdent dj.
Toujours dans sa version soft , le whistleblowing sinscrit dans le courant
thorique de la vertu. Ainsi, la moralit sinscrit dans la vie individuelle
(Canto-Sperber et Ogien, 2004) et peut sanalyser dans le prolongement
dAristote, pour qui les principes moraux ne peuvent pas tre intgralement
explicits de manire rationnelle et valus abstraitement, puisque ce sont les pratiques concrtes qui leur confrent un sens et les inscrivent dans la vie sociale ; (que)
la facult morale (phronesis) est la facult qui dcide de lapplicabilit certains cas
particuliers ; (que) les jugements moraux ne sont pas des produits de la raison thorique lutilisation du langage thique dpend la fois dune forme de vie partage et des pratiques dune communaut o sont dfinis les termes de notre
exprience thique.
Groupe Eyrolles
En pratique
On peut ainsi se demander si le whistleblowing aurait fonctionn dans une
affaire telle que Parmalat, o, dans le but de rassurer les actionnaires et les
cranciers, la direction annona lexistence dune cagnotte de
3,95 milliards deuros dposs dans une agence de la Bank of America
aux les Camans et prsenta un document attestant la ralit du montant
indiqu. Or, la Bank of America affirma que le document prsent par Parmalat pour prouver lexistence de cette somme tait un faux. Ainsi, comme
dans les scandales financiers Enron, Tyco, Worldcom ou Ahold, lendettement de Parmalat a t sciemment dissimul au moyen de systmes frauduleux base de malversations comptables, de faux bilans, de documents
truqus, de bnfices fictifs, de pyramides complexes de socits off shore
embotes les unes dans les autres de faon rendre impossible la traabilit de largent et lanalyse des comptes (Ramonet, 2004).
Groupe Eyrolles
Le whistleblowing la franaise
Tout dabord, la lgitimit de la mise en place du whistleblowing ne peut tre
transpose en ltat dans le contexte franais. Le whistleblowing la
franaise existe dj sous une autre forme, dans la mesure o il est susceptible dtre exerc par les auditeurs externes lgaux. Larticle 34 du dcret-loi
du 8 aot 1935, repris ultrieurement dans la loi du 24 juillet 1966, imposa
aux commissaires aux comptes de rvler au procureur de la Rpublique
tout fait dlictueux dont ils auraient eu connaissance au cours de leur mission. Cette obligation fut pour partie une rponse juridique diffrents scandales financiers tels que la faillite de la Compagnie Universelle du canal
interocanique de Panama, lescroquerie de petits porteurs lors de lmission
Groupe Eyrolles
droit dalerte semble acquise lorsque les dispositifs dalerte sont mis en uvre
la seule fin de rpondre une obligation lgislative ou rglementaire de
droit franais visant ltablissement de procdures de contrle interne dans
des domaines prcdemment dfinis. En revanche, pour la CNIL, il ne
semble pas que le simple fait de lexistence dune disposition lgale trangre
en vertu de laquelle un dispositif dalerte serait mis en place permette de
lgitimer un traitement de donnes personnelles, notamment dans le cas des
dispositions de la section 301 de la loi Sarbanes-Oxley, qui prvoit que les
employs dune entreprise doivent pouvoir faire tat au comit daudit de
leurs inquitudes quant une comptabilit ou un audit douteux en tant
assurs de bnficier dune garantie de confidentialit et danonymat .
En pratique
La CNIL a refus en 2005 dautoriser deux projets de lignes thiques
permettant aux salaris de signaler des comportements fautifs imputables
leurs collgues de travail. Elle a mis une rserve de principe pour les raisons suivantes :
risque de mise en place dun systme organis de dlation professionnelle du fait de lanonymat de la personne dnonciatrice ;
disproportion entre les dispositifs et les objectifs poursuivis ;
dloyaut de la collecte et du traitement des donnes pour la personne
nayant pas les moyens de sopposer et de se dfendre.
Groupe Eyrolles
Groupe Eyrolles
faut que son contrle soit fiable et efficace. Il est vital, pour la russite du systme et viter tout dommage collatral sur la culture organisationnelle de
lentreprise, de confier la gestion des alertes une organisation spcifique.
Groupe Eyrolles
Les diligences raliser par les auditeurs internes pourront tre formalises
dans le cadre dun code de dontologie afin de dlimiter le champ dintervention et les actions conduire. La dontologie renvoie un ensemble de
rgles dont se dote une profession (ou une partie dune profession) au travers
dune organisation professionnelle qui devient linstance dlaboration, de
mise en uvre, de surveillance et dapplication des rgles (Isaac, 1996).
Groupe Eyrolles
En pratique
Dans le cadre de diffrentes affaires, les juges ont estim quauraient d
faire lobjet dune rvlation au procureur de la rpublique : le dfaut
dtablissement des comptes annuels, linexactitude des bilans, la majoration frauduleuse dun apport en nature, le dfaut de provisions et lexistence de manipulations comptables tout fait anormales sur les titres de
participation provoquant des plus values fictives au sein dun groupe de
socits, le dfaut de tenue dune comptabilit et de rdaction du rapport
de gestion par les dirigeants, lentrave la nomination du commissaire
aux comptes, labus de biens sociaux, la complicit du commissaire aux
comptes dans la prparation dun bilan inexact.
Groupe Eyrolles
Si le whistleblowing est conu comme un outil juste et efficace pour lamlioration des comportements individuels et collectifs dans lentreprise, le cercle
dthique des affaires (2005) propose une conception plus large de la notion
dalerte thique, en cartant le principe de lillgalit pour se fonder sur
lunique critre du risque pour lentreprise et prcise que sont ainsi vises
les irrgularits ou mauvais comportements professionnels que les salaris
constatent dans lentreprise et dont ils estiment quils font courir un risque
srieux sur les plans financier, juridique, technique, sanitaire, scuritaire ou
quant sa rputation. La finalit de lalerte thique est centre sur la prservation de lentreprise et lamlioration de son comportement et non pas sur
lventuel effet dissuasif dun mcanisme dautocontrle des salaris par les
salaris .
Cette pratique peut ainsi dboucher sur la formalisation des bonnes pratiques
dans un guide des bonnes conduites. Mercier (2000) souligne qu partir de
1990, ladoption des Federal Guidelines for Sentencing Organizations a
incit les entreprises une autorgulation interne des comportements en
recommandant ladoption doutils de gestion des risques thiques et note
que les entreprises ont mis en place les actions suivantes :
ltablissement de principes et procdures devant guider les comportements thiques ;
la nomination dun ou de plusieurs responsables de lthique dans lorganisation pour veiller lapplication de ces principes et procdures ;
POUR CONCLURE
Groupe Eyrolles
Si le whistleblowing devait tre mis en place, il devrait faire lobjet dun consensus
entre les diffrentes parties prenantes de lorganisation sur son primtre, les
conditions de ralisation du droit dalerte et le cadre thique dans lequel il sera
exerc.
Chapitre 8
Fusions-acquisitions :
le rle de lauditeur interne
PAR CHRISTINE POCHET,
Professeur lInstitut dAdministration des Entreprises de
lUniversit Paris I Panthon-Sorbonne
ET
ALESSANDRO REITELLI,
Groupe Eyrolles
Groupe Eyrolles
Quel rle les auditeurs internes ont-ils jouer dans les oprations de fusionsacquisitions ? Cest cette question que se propose de rpondre ce chapitre.
Pour cela, nous mettrons tout dabord en vidence la dualit de ces oprations. Sous-tendues par une pluralit de motifs qui constituent autant
dopportunits damlioration de la performance, les oprations de regroupement dentreprise prsentent galement des risques levs pour les actionnaires. Elles sont en particulier risques, parce que les conflits dintrts entre
actionnaires et dirigeants peuvent sy avrer importants.
Groupe Eyrolles
Groupe Eyrolles
obir une logique de recentrage sur les activits principales, suscitant des
oprations de nature horizontale accompagnes de cessions. Dsormais, dans
la plupart des pays europens, le poids des fusions transfrontalires dpasse
celui des oprations domestiques. Les vagues successives de consolidation
tendent par ailleurs gnrer un nombre croissant de mga deals. Dans le
mme temps, les progrs raliss dans le domaine des nouvelles technologies
de linformation et de la communication (NTIC) facilitent la gestion
dentreprises oprant lchelle mondiale. Lclatement de la bulle spculative en 2001 marque la fin de cette priode.
Sixime vague : depuis 2005
Lanne 2005 marque la reprise des transactions lchelle mondiale. De
nouveaux acteurs ont fait leur apparition : les fonds de private equity (15
20 % des oprations en Europe) ainsi que les hedge funds. La Chine commence galement merger comme acteur sur le march des fusions-acquisitions (rachat de Marionnaud par AS Watson, des ordinateurs personnels
dIBM par Lenovo). A contrario, on note dans certains pays des manifestations
de patriotisme conomique (par exemple, lors de la prise de contrle
dArcelor par Mittal Steel). En 2006, le montant des oprations lchelle
mondiale a atteint le chiffre record de 3 610 milliards de dollars, en hausse de
40 % par rapport 2005 et mme de 6 % par rapport au dernier record
datant de 2000.
Favorises par des dterminants de nature macroconomique, les vagues de
fusions-acquisitions obissent galement une logique microconomique.
Groupe Eyrolles
Groupe Eyrolles
Groupe Eyrolles
pas moins dlicates mettre en uvre. Leur impact sur la richesse des actionnaires est depuis longtemps discut par la littrature qui fournit sur ce point
des rsultats contrasts. Nous en prsenterons une vue synthtique. Nous
analyserons ensuite le risque auquel sont exposs les actionnaires de lentreprise acqureuse lors dune opration de regroupement dentreprises.
Dans ce cas, cest limpact sur la richesse des actionnaires de lentreprise initiatrice qui est valu. Dans lensemble, les tudes ralises montrent que les
actionnaires de lacqureuse sont perdants. Sagissant des fusions, les rsultats
des tudes empiriques sont convergents et mettent en vidence des rentabilits anormales cumules sur cinq ans ngatives (Agrawal et al., 1992 ; Rau et
Vermaelen, 1998). En revanche, les travaux portant sur les offres publiques
dbouchent sur des conclusions divergentes. Plusieurs auteurs trouvent des
rentabilits anormales cumules non significativement diffrentes de zro
(Franks et al., 1991 ; Higson et Elliot, 1998). Dautres mettent en vidence
une rentabilit moyenne positive cinq ans (Loughram et Vijh, 1997). Sur le
march franais, Pcherot (2000) trouve une rentabilit anormale cumule
ngative de 25,4 %. Les rsultats des mesures long terme apparaissent
cependant trs sensibles la mthodologie utilise (Albouy, 2000).
Groupe Eyrolles
La littrature suggre donc que seuls les actionnaires des entreprises cibles
savrent clairement gagnants dans les fusions-acquisitions. Plusieurs hypothses ont t formules pour tenter dexpliquer les performances dcevantes
de lacqureuse. Le dirigeant de lentreprise acheteuse pourrait tre victime
de biais cognitifs (Barabel et Meier, 2002), notamment un penchant surestimer sa capacit grer une opration aussi complexe et risque quune
fusion-acquisition : cest lhypothse dorgueil (hubris) faite par Roll (1986).
Il serait galement victime de la maldiction du vainqueur lorsque,
confront une concurrence pour la cible, il accepterait de payer un prix trop
lev pour remporter loffre, compromettant ainsi la rentabilit de lopration
(Dickie et al., 1987). Enfin, dans la perspective de la thorie de lagence (Jensen et Meckling, 1976), on peut noter que les conflits dintrts entre actionnaires et dirigeants sont importants dans un contexte de fusion-acquisition. La
ralisation doprations contraires aux intrts des actionnaires sexpliquerait
alors par lopportunisme des dirigeants (Morck et al., 1990).
Nous nous proposons maintenant de procder une analyse globale du
risque auquel sont exposs les actionnaires de lentreprise acqureuse lors
dune opration de fusion-acquisition. Par souci de concision, nous parlerons de risque dacquisition pour dsigner ce risque.
Alas de la cration de valeur pour les actionnaires : le risque dacquisition
Groupe Eyrolles
Groupe Eyrolles
Groupe Eyrolles
Lauditeur interne a-t-il un rle jouer ce stade ? Une tude internationale mene par Selim et al. (2003) indique que peu dauditeurs internes
sont sollicits dans la phase de pr-acquisition. Toutefois, leur implication
prcoce dans le processus dacquisition serait extrmement bnfique.
Laptitude des auditeurs internes envisager lentreprise de faon globale,
leur connaissance des diffrentes units daffaires et des stratgies qui leur
sont associes, leur confrent la capacit de conseiller le management, en
complment des cabinets de conseil en stratgie gnralement mobiliss
au stade de la pr-due diligence. Ils ont galement un rle jouer en
matire de contrle stratgique, en complment du conseil dadministration, du fait de leur capacit valuer le processus de planification stratgique. Leur domaine privilgi dintervention demeure cependant celui
de la due diligence.
Groupe Eyrolles
En pratique
Le groupe PPR offre un exemple de stratgie russie de croissance externe,
reposant sur lanticipation des difficults de certains secteurs et, linverse,
des opportunits de croissance offertes par dautres secteurs. Initialement
prsent dans lindustrie du bois, le groupe opre un virage stratgique
significatif en 1990 avec lacquisition de CFAO, entreprise spcialise
dans le ngoce avec lAfrique. Le fondateur anticipe alors une crise de surproduction dans le bois, ainsi quune complexification de la rglementation, notamment en termes denvironnement. La dcennie 1990 voit
soprer le virage de la distribution spcialise vers la distribution grand
public avec lacquisition de Conforama, du Printemps et de La Redoute. La
fin des annes 1990 marque enfin lentre dans le luxe avec lacquisition
de Gucci en 1999. Cette stratgie a t poursuivie depuis, PPR procdant
lacquisition progressive de marques non concurrentes entre elles, possdant chacune des spcificits en termes de produits, de clientles,
dimage.
Groupe Eyrolles
uvre dune due diligence peut se heurter des difficults dobtention des
informations ainsi qu une pression temporelle importante. Dans le
contexte des fusions-acquisitions, on nomme deal breaker un problme
majeur qui vient interrompre la transaction. Au cours de la due diligence, et
notamment de la due diligence financire, lauditeur identifie de nombreux
problmes qui vont se rsoudre par le biais dajustements comptables (dprciations dactifs, constitution dune provision pour risque, etc.). Seul un problme majeur est susceptible de constituer un deal breaker. Par ailleurs, il est
clair que le but de lauditeur consiste identifier le maximum de problmes
afin de diminuer le prix dacquisition de la cible.
Lenjeu dune due diligence financire est triple : obtenir une comprhension
des performances passes de la cible, analyser lactivit correspondant
lexercice courant, enfin valuer le potentiel futur de cration de valeur de
lacquisition.
Les principales analyses effectuer pour comprendre la performance historique sont rsumes dans le tableau n 1 ci-aprs.
Tableau n 1 - Comprendre la performance historique
Enjeux
Principales analyses
Analyse du BFR
volution mensuelle
Risque li lhistorique
Impact de la cession
Groupe Eyrolles
Analyse des trends dactivit et Analyse des effets volume, prix, mix produits et
de profitabilit historiques et identifi- cots de production sur le chiffre daffaires et la
cation des principaux leviers
marge brute
Analyse de la structure des charges dexploitation
(fixe/variable)
Dfinition du ROP normatif
Analyse des rsultats financiers et exceptionnels
Lanalyse du current trading consiste passer en revue les derniers comptes disponibles (mensuels, trimestriels ou semestriels) arrts par le management de
la cible et projeter ces comptes par rapport au budget de lanne en cours.
Ceci permet de connatre la tendance en matire dvolution de lactivit, de
la rentabilit et de la situation de trsorerie. En comparant les derniers chiffres disponibles au budget, il est galement possible dapprcier la qualit des
prvisions du management de la cible. Enfin, moyennant un examen dtaill
du carnet de commandes, cet exercice permet dajuster si ncessaire les prvisions de rsultat en fin dexercice.
Lanalyse de lactivit courante passe galement par un audit des principaux
postes risque du bilan ainsi que par lidentification des principales zones de
risques hors bilan. Les points principaux sont les suivants (tableau n 2).
Tableau n2 - Identification des risques au bilan et hors bilan
Groupe Eyrolles
Enjeux
Principales analyses
Risque li lhistorique
Impact de la cession (sur les engagements
sociaux, etc.)
par la cible fait lobjet dun examen trs pouss. Il sagit de vrifier la cohrence des hypothses fondant les projections dactivit avec la tendance des
donnes historiques. De mme, le caractre raliste des prvisions doit tre
interrog et des analyses de sensibilit conduites. ce stade, il est indispensable didentifier les risques cls ainsi que les principaux leviers de performance inclus dans le business plan.
Le rle de lauditeur interne
Ltude prcite de Selim et al. (2003) met en vidence le fait que la due diligence constitue ltape du processus dacquisition au cours de laquelle les
auditeurs internes sont le plus mobiliss. Dans certains cas, lauditeur interne
est inclus dans lquipe de due diligence, par nature multifonctionnelle, dans
dautres, il intervient en appui de consultants extrieurs. Ses domaines privilgis dintervention concernent laudit du management des risques et de la
fonction audit interne de la cible. Il vrifie parfois que les personnes charges
de lvaluation de la cible possdent les qualifications requises pour accomplir cette tche. Enfin, dans certaines entreprises, il sassure que les faiblesses
identifies lors de la due diligence sont bien prises en considration lors de la
finalisation de la transaction.
Groupe Eyrolles
Groupe Eyrolles
Groupe Eyrolles
Le changement organisationnel conscutif une opration de fusion-acquisition constitue un facteur dincertitude pour les salaris en raison des bouleversements quil engendre (Buono et Bowditch, 1989). Le principal danger
est alors la perte de talents si les individus qui dtiennent des comptences
prcieuses pour lentreprise ne sont pas incits demeurer au sein du nouvel
ensemble (Kiessling et Harvey, 2006). En prsence de doublons, plusieurs
approches peuvent tre identifies : paritaire (quilibre acqureur/cible),
quitable (le meilleur chaque poste), prdatrice (lacqureur impose ses
hommes). En termes defficience, lapproche quitable domine nettement
les deux autres. Lapproche prdatrice manifeste quant elle la volont du
top management de lentreprise acqureuse dimposer, avec ses hommes, sa
culture. Or, toutes les cultures dentreprise ne sont pas naturellement compatibles. Qui plus est, dans les fusions transfrontalires, la confrontation des
cultures dentreprise se superpose celle des cultures nationales. La capacit
matriser le processus dintgration culturelle apparat ainsi comme une condition importante du succs dune opration de regroupement dentreprises.
Groupe Eyrolles
Groupe Eyrolles
POUR CONCLURE
Les oprations de fusions-acquisitions ont vocation enrichir les actionnaires : cest
tout du moins largument invoqu par les dirigeants pour convaincre les investisseurs
de leur bien-fond. Pourtant, que ce soit au cours de la dcennie 1990 ou lpoque
des raids hostiles des annes 1980, bien des dsillusions ont couronn des deals qui
semblaient prometteurs.
Les causes de ces checs sont diverses :
surestimation des synergies ;
sous-estimation des difficults dintgration et des cots associs ;
mauvaise matrise du processus dintgration ;
Groupe Eyrolles
Groupe Eyrolles
Partie III
La mise en uvre
daudits spcifiques
en environnement international
Chapitre 9
ET
VALRIE BERCHE,
Groupe Eyrolles
Sur le plan juridique, on peut dfinir la filiale comme une socit dans
laquelle une autre socit dtient une fraction du capital dfinie selon les
textes juridiques locaux. Les valeurs dtenues infrieures la participation
plancher sont qualifies de valeurs dinvestissement pour la socit propritaire. La filiale est donc une personne morale, mais en situation de dpendance. Il en rsulte plusieurs consquences prvisibles, intgrer dans la
rflexion de lauditeur :
les contrles exercs par la socit mre peuvent tre limits par le positionnement des dirigeants de la structure et par le fait quelle constitue un
centre daffaires autonome vis--vis de ses partenaires et des tiers ;
lautonomie de la filiale se traduit dans les domaines comptables, dans
ceux relatifs la scurit, dans lanalyse des infractions qui prsentent un
caractre pnal ainsi que celles lies aux autres lgislations et rglementations (fiscale, douanire et relative au droit du travail).
De plus, il nexiste pas au sein dun groupe deux filiales prsentant les mmes
caractristiques ni le mme degr dautonomie. Chacune ncessite donc une
approche adapte sa situation spcifique.
Les raisons justifiant ces diffrences sont diverses et lhistoire apporte souvent
des explications pertinentes. Ainsi, la socit filiale peut avoir t cre dans
un but bien prcis, par exemple la reprsentation ou la commercialisation
dun produit. Mais elle peut aussi prsenter des caractristiques plus gnrales. Juridiquement, elle appartient en totalit, avec ou sans effet levier, directement la maison mre ou indirectement si cest une autre filiale qui en est
propritaire. De mme peut-elle tre cre en association avec dautres partenaires dans un but particulier. Enfin, elle peut avoir fait lobjet dun rachat,
avec les anciens propritaires prsents ou non dans le capital. Lensemble des
spcificits des filiales requiert pour lauditeur la ncessit de dfinir des
modalits dapproche diffrentes.
Dans le mme ordre dides, les modalits de gestion entre filiales peuvent
tre fort dissemblables, de mme que les objectifs qui leur sont assigns, suivant que la filiale se prsente comme un centre de profit indpendant ou
quelle est intgre au modle conomique du groupe. L encore, les particularits ncessitent la mise en place dun questionnement particulier de la
part de lauditeur.
En rsum, au regard de la fraude, les recherches mener en filiale ne sont
gure diffrentes en termes de mthodologie de celles qui peuvent tre dveloppes au sein de la maison mre, mais elles doivent systmatiquement faire
lobjet dune adaptation qui peut savrer lourde.
Groupe Eyrolles
Groupe Eyrolles
La premire approche mener pour lauditeur concerne le support informatis, qui sous-tend notamment lensemble des oprations de reporting. En
effet, la crdibilit des comptes transmis est toute entire assise sur cet lment. Les autres analyses, en particulier celles relevant des processus mtiers,
sont complmentaires celle-ci, tant donn que toute recherche portant sur
les failles releves dans les processus ne permet pas de montrer les carences ou
des montages intgrs dans les fichiers relatifs la gestion commerciale.
Dans un environnement informatis, o les procdures comptables et de
gestion sont troitement lies, la fraude ralise au profit ou aux dpens de
lentreprise utilisatrice intgre ncessairement des manipulations au niveau
des procdures informatiques, justement pour effacer les effets trop vidents
de la fraude.Trois domaines sont particulirement sensibles en la matire :
la gestion de la trsorerie et des moyens de paiements (analyse p. 237) ;
Pour la comptabilit :
comment seffectuent les transferts des factures en comptabilit ?
existe-il des critures doprations diverses ?
peut-on supprimer une criture comptable, une facture ou un avoir ?
peut-on d-clturer une priode comptable acheve ?
Si le questionnement laisse apparatre lexistence dune ou de plusieurs de ces
opportunits, le risque de fraude est demble trs significatif.
Groupe Eyrolles
Pour la facturation :
existe-il des avoirs ? Quelles sont les procdures et les typologies de
facturation ? Quels montants et quels usages documentaires sont utiliss ?
comment soprent les entres et sorties de marchandises ? Quelles sont
les diffrentes procdures de facturation ?
existe-il des retours de marchandises ? Demballages ? Quels procds,
quels modes de gestion et quels enjeux financiers ?
Groupe Eyrolles
Il est aussi ncessaire de raliser un test sur la qualit des habilitations informatiques, afin de rpondre plus prcisment aux quatre dernires questions
prcdentes.
Les montages les plus connus doivent tre recherchs dans les manipulations
mises en place par Enron, Worldcom et Parmalat, qui ont install la filiale
comme pivot de montage frauduleux permettant de manipuler les comptes.
Les conseils dEnron ont largement utilis ces structures dans le but de dgager les crances injustifies de leurs comptes. Le montage labor tait alors
le suivant.
Groupe Eyrolles
En pratique
Une structure de ce type est cre, avec sa tte un responsable des banques engages auprs dEnron ou un manager de niveau moyen de cette
dernire. Puis Enron cautionne un prt consenti par ces mmes banques
ces Special Purpose Entities . Lachat par ces socits des crances
injustifies libre Enron des pertes correspondantes et gnre mcaniquement un produit. Celui-ci est fictif, mais une fois la caution camoufle ,
la situation de trsorerie est amliore. Sur ces oprations, les analystes
financiers peu perspicaces identifient une situation intressante et proposent laction lachat, ce qui augmente la valeur boursire.
Groupe Eyrolles
Groupe Eyrolles
Groupe Eyrolles
En pratique
Dans la filiale investissement dun groupe important, des dtournements considrables, 20 millions de francs environ, sont raliss par un
directeur qui achetait pour la maison mre des terrains qui nexistaient
pas.
Un responsable de la filiale charge de grer la construction de magasins
a monnay lattribution de contrats de construction contre des pots-de-vin
valus plusieurs dizaines de millions deuros.
Dans le secteur de la publicit, tel directeur de filiale dtournait pour son
propre compte les ristournes offertes par des chanes tlvises.
Groupe Eyrolles
Groupe Eyrolles
Les montages dits des comptables sont beaucoup plus simples, mme sils
ne sont pas aiss dceler.
Dautres manipulations sont bien moins sophistiques, mais restent redoutablement efficaces. Il sagit de rintroduire dans la comptabilit des factures
dj inscrites dans les comptes et payes. Si le systme comptable ne prvoit
pas de blocage sur ce point ou sil nest pas dfinitif, le fraudeur pourra rutiliser ce document (papier ou numris) pour gnrer un paiement son profit. Il faudra, au pralable, avoir cr un nouveau compte bancaire pour
bnficier pleinement du montage.
Lun des cas relativement utilis est celui du double paiement dun
fournisseur : une facture dj rgle est rinjecte dans le circuit, mais avec
une adresse bancaire diffrente.
En pratique
Il est possible de crer un fournisseur fictif et de lintgrer la liste des fournisseurs lorsquelle existe. Cette cration, qui relve du faux le plus strict,
gnre lmission dune facture justifiant le paiement sans que le processus
ne soit aucun moment affect. De plus, en termes de fraude, le risque
dtre identifi intervient au moment o le fournisseur est cr. Une fois la
structure intgre dans la liste des fournisseurs, elle peut fonctionner longtemps sans aucun problme. En lespce, lors de lanalyse des comptes
fournisseurs, aucune irrgularit apparente ne permet dindiquer la prsence dun risque. La cration de toutes pices dun fournisseur nest pas le
seul montage envisageable, il est simplement lun des plus labors.
Les autres montages de mme nature consistent en gnral utiliser un
fournisseur dormant pour simuler une facturation ; on aura au pralable
pris le soin de crer un nouveau compte bancaire pour recevoir les fonds.
Ce procd est assez pertinent, car il utilise une structure dj intgre
dans les tables.
Groupe Eyrolles
Existe-t-il une remonte systmatique des factures situes juste en dessous des montants dlgus ?
A-t-on mis en place une extraction systmatique des fournisseurs intrus
(non inclus dans les listes) et une analyse des chiffres daffaires raliss
de la prestation et des modalits de rglement ?
A-t-on mis en place une remonte systmatique des modifications des
fichiers fournisseurs, en particulier celles concernant les identifiants
bancaires ?
A-t-on corrl les retours de fabrication, les avoirs, les problmes divers
relatifs aux produits avec les fournisseurs concerns ?
Dispose-t-on dune analyse portant sur les chiffres daffaires, les modalits de paiement, les dates de cration et la crdibilit conomique des
fournisseurs concerns ?
Est-il possible de corrler ces analyses avec un responsable local ?
2. Au regard de la mise en place des processus :
Une sparation des tches existe-t-elle entre les trois moments forts de
lachat (commande, rception/validation et paiement) ?
Existe-t-il une liste des forages du systme de gestion (tous les forages)
et est-elle utilise des fins de contrle ?
Les lments relevant de la trsorerie font-ils lobjet dun encadrement
pertinent ?
Une analyse de lexistence et de lexplication de doublons est-elle
effectue ?
Une analyse est-elle effectue systmatiquement entre les budgets et la
ralisation dfinitive des oprations ?
Ces analyses sont-elles corrles avec les problmes relevs dans la gestion des stocks ?
Groupe Eyrolles
La cration dun client fictif est une vielle histoire Elle permet de faire
bnficier indirectement celui qui la met en place de bonus ou de commissions plus importantes. En effet, la vente qui lui est affecte est comptabilise
comme une vente relle. En ce sens, elle rentre dans le calcul du bonus. En
revanche, lorsque le paiement nest pas effectu, qui va payer ? Les avoirs ne
diminuent pas les sommes dj obtenues pour les fraudeurs.
Il est aussi intressant de crer des clients fictifs, qui jouent le rle dcran
lorsque le fraudeur dsire dtourner des produits. Le client ne paye pas et
lorganisateur peut vendre les produits pour son propre compte. La grande
criminalit utilise largement ce systme pour agresser les entreprises et les
dpouiller de la valeur facture.
Les montages effectus autour des facturations sont lgion et affectent le service commercial. Il sagit de vendre moins cher des produits une socit
lie, ce qui se matrialise par un manque gagner. On lidentifie en gnral
partir du calcul de la moyenne des remises. Cest alors le client avantag qui
bnficie des sommes au dtriment de la socit qui a vendu. Les sommes
peuvent tre partages entre les complices. Cette pratique est utilise frquemment lorsque les socits sont proches de la liquidation. Ce montage
souvent coupl avec celui mettant en uvre un client fictif permet dextraire
de la socit des produits qui seront ngocis au noir.
Les manipulations de facturation ou despces constituent le moyen le plus
frquent pour dtourner des sommes. Il sagit de manipulations qui consistent crmer les comptes clients, cest--dire que le fraudeur va dtourner
une partie des espces qui devraient tre comptabilises au compte client ou
mettre des factures avec des acomptes, encaisser ceux-ci titre personnel et
crer une nouvelle facture sans indiquer leur existence. Ceci ne peut cependant pas tre effectu avec tous les clients et ncessite, pour en bnficier,
une bonne connaissance du fichier client.
Groupe Eyrolles
On remarquera que lanalyse des fraudes partir des comptes clients est similaire celle effectue partir des comptes fournisseurs. La seule diffrence
tient la nature des flux qui est inverse. Le questionnement pouvant tre
dvelopp sera le suivant.
a-t-on mis en place une extraction systmatique des clients intrus (non
inclus dans les listes) et une analyse des chiffres daffaires raliss et des
modalits de rglement ?
a-t-on mis en place une remonte systmatique des modifications des
fichiers clients, en particulier celles qui concernent les identifiants
bancaires ?
a-t-on corrl les retours de fabrication, les avoirs, les problmes divers
relatifs aux produits avec les clients concerns et les commerciaux ?
dispose-t-on dune analyse portant sur les chiffres daffaires, les modalits
de paiement, les dates de cration et la crdibilit conomique des clients
concerns ?
est-il possible de corrler ces analyses avec un responsable local ?
Au regard de la mise en place des processus :
une sparation des tches existe-t-elle entre les trois moments forts de la
vente (commande, rception/validation des taux, sortie de stock et
paiement) ?
existe-t-il une liste des forages du systme de gestion (tous les forages)
et est-elle utilise des fins de contrle ?
les lments relevant de la trsorerie font-ils lobjet dun encadrement
pertinent ?
une analyse de lexistence et de lexplication de doublons est-elle
effectue ?
une analyse est-elle effectue systmatiquement entre les budgets et la
ralisation dfinitive des oprations ?
ces analyses sont-elles corrles avec les problmes relevs dans la gestion
des stocks ?
Groupe Eyrolles
si ce nest celle de gnrer de vrais paiements pour le fraudeur. Ces faux salaris peuvent tre intgrs dans le systme comptable, mais il arrive souvent
que le montage consiste continuer payer un salari qui a quitt la structure. Lorsquil existe des cas de sous-traitance sur plusieurs sites non contrls, il arrive que les mmes salaris soient facturs plusieurs fois. Le fait que,
dans de nombreux pays, les paiements soient effectus en espces, rend plus
difficile le contrle.
La seconde catgorie de montages concerne des modifications de taux ou
une augmentation des salaires au profit de certaines personnes. Dans ce cas,
les amitis, les prfrences, sont souvent largement rmunres.
Le dernier cas est celui des remboursements de frais qui peut se dcliner de
diverses manires, suivant laccs dont dispose le fraudeur au systme informatis. Ces remboursements peuvent tre totalement faux, mais il est aussi
possible de les comptabiliser plusieurs fois. On suit en cela le systme classique des manipulations frauduleuses.
Le questionnement pos peut tre le suivant.
Groupe Eyrolles
Au cas o des rponses ngatives affectent plusieurs questions ou si les paiements en espces excdent la moyenne releve dans des structures similaires,
nous sommes en prsence dindicateurs forts de risque.
Le processus de trsorerie
Dans ce processus, on relve des possibilits de dtournement considrables.
Il sagit dans la plupart des cas derreurs ou de manipulations autour de la
caisse ou de la gestion des comptes bancaires et des titres de paiement.
Les techniques de fraudes relatives aux dpts et aux recettes en espces sont
utilisables si les fonctions ne sont pas spares et si les rapprochements bancaires et relatifs aux stocks sont approximatifs. On relve ici quelques pratiques trs connues.
En pratique
Il en va ainsi de lcrmage de la trsorerie avant que les espces ne soient
entres dans le systme. Il peut se produire au cours de ventes sur site ou
hors site. Le problme pos aux fraudeurs est celui de lquilibre des comptes, en particulier partir des valuations de stock. Le fraudeur est oblig
de rgulariser les oprations avec des faux avoirs, des faux retours, ou des
provisions pour dprciation ou pour vol dans les inventaires.
Les erreurs de caisse constituent aussi un bon moyen de dtourner des
fonds titre personnel. Le problme qui se pose est celui de lenregistrement des oprations, car ce stade, tout est enregistr.
Groupe Eyrolles
La gestion de la trsorerie et des placements prsente une typologie assez diffrente. Les risques du courtage, les dtournements dintrts dus, les aides
illgitimes des structures tiers ainsi quun risque de blanchiment seront mis
en vidence.
En pratique
Les fraudes lies aux oprations de courtage sont relativement frquentes
dans ce domaine. En effet, un courtier peu scrupuleux peut tre utilis
comme une structure cran. Son intervention est pertinente, car elle cre
une structure intermdiaire crdible et renchrit une prestation. Le supplment illgitime peut tre partag avec le responsable qui autorise la manipulation. Le constat dune faiblesse du contrle, dune prise de dcision
unilatrale et le fait que certains courtiers aient des taux de commission
hors norme de manire constante sont des indicateurs de risque majeurs.
Groupe Eyrolles
Le questionnement qui pourra tre pos sera le suivant. Au regard de la scurit des locaux et des documents :
les moyens de paiement et les locaux dans lesquels ils se trouvent sont-ils
protgs ?
les donnes relatives aux partenaires des socits sont-elles protges ?
est-il prvu de confier des tches relatives au paiement des employs stagiaires ou temporaires ?
Groupe Eyrolles
Pour ce qui relve des enlvements, ce procd est toujours largement utilis
par le grand banditisme et par des structures terroristes. Les premiers en retirent des espces et crent la peur qui assoie leur pouvoir conomique. Les
seconds y voient un moyen ais dobtenir notorit, provocation et finances.
Ces enlvements sont conomiques , raliss par des organisations criminelles plus ou moins structures, dont lobjectif est, pour le coup, le seul
profit financier. videmment, ce sont les entreprises qui sont les premires
vises, car elles sont considres comme susceptibles de payer.
Le chantage mafieux est assez frquent : les groupes criminels organiss proposent alors une protection contre un risque qui nexiste pas sils ne sont pas
prsents. Cette protection peut prendre diverses formes. Les modalits du
prlvement stendent depuis le versement classique despces dont on dispose partir de fausses factures et de socits crans jusquaux prestations de
scurit, de gardiennage, ou dintermdiation rendues par des entreprises
lies aux criminels.
En pratique
Dans certains pays, ces enlvements conomiques se sont transforms
en une vritable industrie criminelle. Les enlvements peuvent tre cibls ou
effectus partir doprations alatoires. Le plus souvent, des dlinquants
primaires enlvent tous les trangers qui entrent dans leur primtre, et en
fonction de la nationalit, de la qualit du prix qui peut tre vers,
revendent les otages des groupes qui les utiliseront politiquement ou
pas. Il sagit dun vritable march aux otages avec sans doute des remises
sils ne trouvent pas acheteur.
Les bons rsultats sont-ils cohrents avec ce qui est constat dans des
situations similaires (benchmarking) ?
A-t-on identifi lorigine des remontes de trsorerie (dates, type de
paiement, lieux, vente au dtail) ?
Le constat est-il crdible eu gard lexprience locale ?
Groupe Eyrolles
A-t-on compar le chiffre daffaires de la filiale et la remonte de trsorerie et celui gnralement constat dans le secteur ?
Groupe Eyrolles
Constate-t-on lapparition de fournisseurs spciaux (commissions, honoraires, tudes) concomitante avec le dveloppement du chiffre daffaires
dans la socit ?
POUR CONCLURE
Groupe Eyrolles
Ces quelques lignes constituent un guide qui ne correspond en aucun cas un code
de pratiques exclusives. Il doit permettre tout auditeur de se poser les questions
pertinentes au regard de la recherche des fraudes dans les conditions normales
dune gestion de filiales. Cest un simple outil dont la plus grande difficult
dapplication rside dans la capacit dadaptation de lauditeur aux normes et la
lgislation locale.
Chapitre 10
Groupe Eyrolles
Face un groupe de taille importante avec des moyens sophistiqus de communication, tout doit tre surveill. Le fraudeur peut sintroduire directement
dans lentit de nombreuses manires : via les postes de travail, les imprimantes en rseau, par dcouplage1.
Ce chapitre sorganise en deux parties. Dans un premier temps, il sagira de
mettre en vidence les enjeux, les objectifs et lunivers de la fraude sur les
systmes dinformation. Puis nous nous attarderons sur la dtection et la prvention de la fraude sur les systmes dinformation.
Aujourdhui, les fusions, les absorptions, limplantation de nouvelles machines avec de nouvelles applications, de nouveaux logiciels ou progiciels, avec
1. Cble plac prs de lun des cbles rcuprant les informations, qui permet de les
retourner modifies dans le systme dinformation.
Groupe Eyrolles
Lorsque linformatique nexistait pas, les processus restaient relativement stables et les entits dfinissaient des procdures et des modes opratoires correspondant ces processus avec des points de contrle interne classiques.
Ceux-ci taient relativement bien surveills, notamment lorsque lentit tait
importante.
Mondialisation
des marchs
volutions
structurelles
Marchs volatils
Frontires floues
Aucune barrire
Acclration des
changements
Refonte des
processus
Concurrence
accrue
Acclration des
mouvements de fonds
internationaux
Sophistication des
systmes et
notamment
des rseaux
Rduction des
dlais
Dmatrialisation
des oprations
les ERP1, ainsi que la rduction des dlais souvent impose aux dirigeants ou
responsables de la matrise dactivit, font que lon supprime des points de
contrle interne (informatique), bien souvent basiques. Ces contrles intgrs aux applications sont appels contrles programms ou automatiss, ou
encore informatiss. On omet mme de procder des balances carres lors
de la sortie dtats (en comptabilit auxiliaire par exemple).
Groupe Eyrolles
Il nexiste pas dinventaire de contrles programms par applications, logiciels, progiciels et autres ERP et lorsque lon en parle, les interlocuteurs sont
parfois surpris. Et pourtant, on les listait bien lorsquil sagissait des contrles
internes classiques. Par ailleurs, les contrles, lorsquils existent, ne sont pas
documents dans les programmes et lauditeur est dans lobligation de les
rechercher un par un.
Sophistication des systmes
Les systmes sont de plus en plus sophistiqus : gros serveurs (ou mainframe)
interconnects, serveurs classiques, rseaux de toute nature ( jetons, en
1. Enterprise Resource Planning.
toile, Ethernet) connects les uns aux autres avec de multiples portes
dentre ou de sortie vers lextrieur, protocoles diffrents utiliss, firewalls
physiques et/ou logiques mal configurs, captures de trames non ralises et
surtout non analyses, etc.
Mme les trs grandes entreprises narrivent pas se protger suffisamment,
dans le cas dintrusions internes, mais aussi externes, ce qui fait le bonheur
des socits de conseils qui sont payes pour dtecter des failles.
Les donnes arrivent de lextrieur et elles sont traites par un systme et
renvoyes vers un autre. Peut-on dsormais suivre rellement notre chre
piste daudit ?
Les tentatives dintrusion ralises par des socits spcialises sont effectues
depuis des laboratoires externes avec soin. Cependant, les entreprises rechignent procder aux mmes oprations en interne (sous prtexte de scurit), ce qui laisse des portes internes ouvertes (malveillance, fraudes,
collusion, etc.).
La bonne volont des responsables de systmes dinformation est vidente,
mais comment procder pour rpondre aux vux des auditeurs alors que les
concepteurs des applications (et leurs propritaires) nont pas dfini la piste
daudit ds la conception et tout au long des diffrentes phases de dveloppement jusqu la livraison et la mise en production, comme cela devrait tre
systmatiquement le cas ?
Acclration des mouvements de fonds
Les fonds sont dj ltranger (paradis fiscal ou autres pays sans vrai
contrle), lorsque lon saperoit de la fraude (mme lorsque celle-ci est
dcouverte trs tt) et les montants sont importants. Cest la rapidit dexcution qui est ici en cause. Les ordinateurs de plus en plus puissants permettent daller trs vite, mais la contrepartie en termes de risques savre de taille.
Groupe Eyrolles
En pratique
La dmatrialisation des oprations sur les notes de frais peut entraner des
drives importantes. Un directeur gnral possdant une carte bancaire
avait lhabitude de se faire rembourser ses frais via lapplication (absence
de sparation de fonctions) et sa carte bancaire (en direct). Sans croisement des informations (opration carte bancaire en comptabilit et opration par le biais de lapplication note de frais), il est difficile de dtecter ce
type de fraude.
Groupe Eyrolles
lments de dfinitions
Par fraude, nous entendons toutes les irrgularits et tous les actes illgaux
commis avec lintention de tromper. Elles peuvent tre commises pour le
bnfice de lorganisation ou son dtriment, tant par les employs de
lorganisation que par des personnes extrieures (norme IIA 1 210-A2-1).
Cette dfinition est suffisamment large pour englober les relations internationales et permettre ainsi des poursuites largies. Elle peut sappliquer la
fraude sur les systmes dinformation, puisque les irrgularits pourraient
par exemple concerner la perte dintgrit dinformations ou impacter les
aspects confidentialit des transactions opres.
Existe-t-il une dfinition particulire et lgale de la fraude sur les systmes
dinformation ? En voici une approche implicite dans la loi dite Godfrain
(1988), laquelle a fait lobjet damnagements depuis. Selon celle-ci, il sagit
de lutilisation non autorise des ressources du systme dinformation,
conduisant un prjudice valuable de faon montaire pour la victime,
essentiellement par le dtournement de biens (fonds, services matriels ou
immatriels, informations) au profit du criminel.
Il convient de noter ici quil existe une vritable confusion entre matrise
dactivit informatique et matrise des systmes dinformation. En effet, la
premire ncessite des connaissances informatiques approfondies, alors que
la seconde est la porte des auditeurs internes non-informaticiens.
Ds lors, laudit des systmes dinformation ax sur la fraude sera plus simple
envisager que laudit informatique.
Laudit technique dune application (lorsquune fraude est envisage) ne peut
tre effectu que par un spcialiste, car dans bien des cas, il sera ncessaire de
connatre le langage utilis, ainsi que les techniques de dveloppement
employes.
Les enjeux
Les enjeux de laudit de la fraude sur les systmes dinformation sont multiples. Ce dernier permet de sassurer que lentreprise dispose dun systme
dinformation complet, protg de faon efficiente (sans trous ou possibilits
dintrusions facilites, etc.). Il veille ce que soit garantie une excellente
communication entre les systmes de faon viter toute rupture ou altration de la chane de communication.
Ainsi, la capacit de lentreprise supporter tout changement se trouve optimise. Sa crdibilit, lorsquelle est amene mener des oprations de
rachats (absorptions) ou de fusions, ou bien lorsquelle est, elle-mme,
reprise, est conforte. Le risque pnal pour lentreprise et pour ses dirigeants,
qui nont pas mis en place les protections indispensables, est vit. Sa survie
est assure aprs un dtournement de fonds : problmes lis aux montants
dtourns, mais galement la publicit ngative que cela peut engendrer.
Les objectifs
Les objectifs de laudit de la fraude sur les systmes dinformation se distinguent trs peu des objectifs classiques daudit des systmes dinformation.
Cet audit consiste essentiellement valuer :
Groupe Eyrolles
Groupe Eyrolles
La troisime tape consiste analyser les ERC (enjeux, risques, cots). Quel
est lenjeu dune faille dans le systme ? Par exemple, lenjeu et le risque
financier peuvent tre minimes, alors que limpact en termes dimage est trs
fort. Le cot associ au risque peut tre lev et il conviendra de le prendre
en compte.
Enfin, la dernire tape analyse les lments DIC (disponibilit, intgrit et
confidentialit) des systmes dinformation concerns. Ainsi, une indisponibilit dun rseau ouvert pourra savrer catastrophique pour une entreprise
de vente internationale. De mme, lorsque lintgrit des donnes est com1. Cette commission est charge de veiller au respect des droits des personnes (informations personnelles).
Groupe Eyrolles
Transaction
Structure du
march
Rputation
Gouvernement
d'entreprise
Fournisseur
Partenaires
Gestion de
trsorerie
Couverture
Taux d'intrt
Taux de change
Financement
Fiscalit
Recouvrement
Cours des
matires premires
Reporting
Liquidits &
Crdit
March
Finance
Processus
Nouveau
Produit/Service
Processus
support
Production &
Logistique
Actifs
physiques
Dettes
Fonds Propres
Rpartition
du Capital
Rseaux
Logiciels
Hardware
Systmes
Gestion du savoir
Information
Organisation
et Suivi
Actifs incorporels
Planification et
dveloppement
Oprations
Proprit
intellectuelle
Acquisitions
Juridique
Responsabilit
Ressources
humaines
Personnels
et culture
Contrat
Formation
Loi et
rglementation
Gestion de
l'information
Oprations
Autres
actifs corporels
Usine, Proprit
et Terrain
conomie
Gestion de l'activit
Gouvernement
Stratgie
Pays
Allocation
des ressources
Client
Concurrent
Dynamiques de
march
thique
Planning
stratgique
Actionnaire
Partenaire
commercial
Groupe Eyrolles
Fausses
donnes
Faux
programmes
Application 1
Flux de
donnes
en entre
Application 2
Systme d'information
Application 3
Fausses
donnes
Flux de
donnes
en sortie
Application 4
1. Il sagit de tout vnement pouvant avoir un impact sur le bon droulement des processus informatiss, par exemple, une transaction naboutissant pas ou une application
ne pouvant plus tre utilise.
Groupe Eyrolles
Les points daccroche ou danalyse essentiels pour lauditeur sont alors les
suivants :
les inventaires de toute nature (physiques, contrats informatiques,
conventions inter entits, comptes bancaires, etc.) ;
les oprations financires de toute nature et les ratios ou benchmarks
associs ;
les donnes (extractions a priori ou a posteriori) significatives pour lentreprise ou le groupe : par exemple, extraction des lments spcifiques la
corruption dans un fichier fournisseurs partir dun logiciel ddi,
cadeau(x) ristournes rabais , doublons ou triplons de montants,
rupture de squencement des chques mis ;
les donnes paramtres et les fichiers rfrence exemples de donnes
paramtres pour la paie : le plafond Scurit sociale, les diffrents taux de
prlvements ;
les incidents informatiques1 en production (lanalyse seffectue partir de
six questions que doit se poser lauditeur : pourquoi ? qui ? quand ? o ?
quoi ? comment ?) ;
Groupe Eyrolles
La fraude informatise
Celle-ci peut tre physique (dtournements de matriels informatiques, par
exemple), et le plus souvent logique1, cest--dire partir de programmes ou
de modifications de traitements en production (laudit est alors affaire de spcialistes). Linformation est dans ce cas modifie ds son entre dans le
1. Fraude sur les mots de passe utiliss frauduleusement, sur les entres dans le systme
dinformation, par intervention directe dans les traitements informatiques, piratage
partir du Web, etc.
Groupe Eyrolles
Ainsi, le cot des mesures de protection peut savrer un frein aux changes
entre partenaires ou associs.
Comment ragir ?
Doit-on revenir pour autant aux bonnes vieilles mthodes de
communication ? Le retour en arrire est aujourdhui impossible, compte
tenu des dcisions qui doivent tre prises presque instantanment parfois, car
le retard peut entraner la perte dun march.
Groupe Eyrolles
En pratique
La dmatrialisation a certes entran une recrudescence de la fraude (la
facture, les notes de frais), mais le support favori des fraudeurs aujourdhui
est Internet (le rseau des rseaux). Les pirates (en anglais : hackers ou
crackers) utiliseront des supports spcifiques, conus par eux ou mis leur
disposition sur des sites qui prolifrent sans problme (en toute illgalit,
car le droit local est le plus souvent impuissant) : logiciels de piratage ou
dattaque, logiciels permettant de retrouver des codes, des fichiers, de
dupliquer (sans vergogne).
1.
2.
3.
4.
Groupe Eyrolles
Axe de
recherche
Domaine
Risque Risque
interne externe
Source dtecte
Informatique
Logiciels et
progiciels
Oui
Impact : +++ ++ +
Groupe Eyrolles
DATE :
Non
Descriptions/Faits :
Tout en maintenant le mme nombre doprations et le mme montant, la technique du
salami consiste porter son crdit, ou celui dun tiers complice, une partie de la
somme (exemple darrondis : allocations, paie, prestations, etc.).
+
+
+
+
+
+
+
Moyens de dissuasion :
+
+
+
Les entreprises de taille moyenne sont encore beaucoup moins sujettes des
attaques par cyberfraude . Ladage pour vivre heureux, vivons cachs
est de mise. En effet, les groupes internationaux connus et surtout ceux dans
lesquels il existe des mines financires intressantes vont tre la cible des
Groupe Eyrolles
Les cyberfraudes
Groupe Eyrolles
Le dcouplage
Lorsque lon branche deux lignes lectriques cte cte sur une prise donne, un effet de dcouplage se produit. Les informations envoyes (sous
forme de diffrents rayons lectriques) par la premire ligne se rpercutent
sur la seconde (en parallle). Les deux lignes ne sont bien sr pas relies
physiquement. On peut donc enregistrer sur lune des deux lignes les informations qui circulent sur lautre. Linformation peut alors tre pirate. Pour
se protger, il est indispensable de tenir jour un inventaire exhaustif du
cblage et dutiliser des cbles de bonne qualit (blindage, fibre optique, etc.).
Une conomie sur cet aspect peut savrer catastrophique.
Le sniffing1
Un logiciel dnomm sniffer se trouve la base de cette technique. Ce
logiciel est trs utile pour les administrateurs de rseaux (notamment pour
surveiller et dtecter les problmes). Les pirates (hackers, crackers, etc.) se servent de cet outil pour dtecter et rcuprer les mots de passe.
Lorsque la connexion seffectue sur un rseau, lensemble des donnes se
retrouve sur toutes les cartes rseau des postes de travail intelligents connects. Les trames que les diffrentes cartes reoivent sont interceptes (y compris celles qui ne concernent pas son propre poste de travail). Ds quun
utilisateur se connecte, son mot de passe est dtect, car il est juste cet instant en clair.
Pour se protger du sniffing, il convient de limiter la taille des sous-rseaux
internes (avec le wifi2, la protection est beaucoup plus difficile) et de les sparer par des switches3.
1. Littralement : reniflement.
2. Wireless file : sans fil.
3. quipement rseau permettant linterconnexion dquipements informatiques en
rseau local optimisant la bande passante.
4. Traduction franaise : parodie, canular.
5. Tous les ordinateurs connects Internet ont une adresse compose de quatre nombres
spars par un point. Cette adresse est obligatoire pour accder un ordinateur/serveur et naviguer sur un rseau.
Groupe Eyrolles
Le spoofing4
Le fraudeur ou le pirate se fait passer pour un autre ordinateur en trafiquant
(modifiant) son adresse IP5 (protocole Internet chiffres). Cette technique
Groupe Eyrolles
Le dbordement de tampon
Cette technique est base sur les failles du protocole IP. Le pirate envoie
lordinateur ou au serveur cible des donnes dune taille trs suprieure la
capacit dun paquet. Le paquet est alors fractionn pour lenvoi et assembl
par lordinateur ou le serveur cible. Ainsi, il y aura dbordement des variables
internes. Lordinateur peut ainsi se bloquer, redmarrer ou encore crire du
code en mmoire. On peut donc modifier directement le code des programmes de la machine.
Les virus et les vers
Le nombre de virus et leur varit tonnent, mais ils sont lis la capacit
dinvention de leurs crateurs. On en compte presque 100 000 aujourdhui
et il sen ajoute chaque jour. Il sagit dun programme cach dans un autre et
qui sexcute et se reproduit en polluant dautres programmes ou dautres
ordinateurs.
Les problmes poss vont du plus simple multiplication des fichiers, modification de la date du systme, message hilarant au plus grave reformatage
du disque dur sans pouvoir arrter lopration. On les classe suivant leur
mode de multiplication ou de reproduction.
Le ver (variante du virus) dsigne pour sa part un programme qui se reproduit et se dplace sur le rseau sans aucune intervention. Actuellement, les
vers se dveloppent surtout via la messagerie. Ils reprent les diffrents contacts dune personne et leur envoient le mini-programme sous forme de
pice jointe. Il faut donc ouvrir cette dernire pour tre pollu.
Groupe Eyrolles
Il est assez difficile de se protger ou dradiquer les vers. Il vaut donc mieux
ne pas ouvrir les fichiers joints sans rflchir. On peut ainsi analyser les
extensions. En effet, les suffixes .txt, .jpg, .gif, .bmp ou .avi ne peuvent pas
contenir de virus ou de vers : on ne les excute pas, on se contente de les
ouvrir. En revanche, les fichiers avec les suffixes .exe, .com, .bat, .vbs ou .pif
peuvent contenir des vers ou des virus. Les fichiers contenant des macros VB
(Word, Excel, PPT, etc.), eux, sont facilement transformables et infects,
mais on les considre souvent comme inoffensifs, ce qui est une erreur (sauf
si on a dsactiv les macros dans les programmes correspondants).
Le cheval de Troie1
Il sagit de programmes engendrant des failles dans les systmes et permettant
lentre des fraudeurs. Lexpression cheval de Troie est emprunte la
Grce antique.
Lors de lcriture ou de la modification dun programme, on introduit des
instructions non apparentes, et accessibles aux seuls initis laide dun fait
dclencheur (code, date, arrt systme). Ces instructions peuvent avoir pour
effet le dclenchement de virements non autoriss, de destructions ou de
modifications frauduleuses de donnes et/ou de programmes.
La dtection est une opration trs proche de celle de la dtection des virus.
Dailleurs, la plupart des antivirus assurent galement la dtection des chevaux de Troie. En somme, lennemi est dans la place. Il peut en profiter,
notamment pour frauder.
Il convient ici de procder une analyse dtaille des ports ( port scan ).
Pour transmettre les donnes, ces espions doivent utiliser une connexion
rseau quelconque. Le port scan recherche les donnes dfectueuses sur
une connexion et dtecte ainsi une activit cheval de Troie. Le cheval de
Troie laisse galement une trace dans la base de registre du systme dexploitation. Lorsque lon connat le nom, il suffit daller dans Dmarrer, Excuter et Rechercher le nom , puis on le dtruit. Mais, attention ! La base de
registres est assez dlicate manipuler et on peut perdre des informations
sensibles et capitales. Les chevaux de Troie doivent tre limins ds leur
dcouverte.
Les bombes logiques
Groupe Eyrolles
savrer trs divers : dlai de x jours ou dheures aprs linstallation, date spcifique, disparition dun compte, inactivit de lordinateur. Une bombe peut
ainsi tre cache dans un conomiseur dcran et ne se lancer quaprs un
temps de veille. La dtection et lradication seffectuent galement partir
dun antivirus qui intgre les diffrents aspects.
Les hoax
Ce sont des canulars ou des messages transmettre en srie envoys par messagerie. En principe, ils ne sont pas nuisibles pour lordinateur. En revanche,
ils saturent les rseaux compte tenu de leur propagation massive. Ils surchargent galement les botes aux lettres et propagent la dsinformation ou constituent des supports intressants pour les sectes de toutes sortes. Ils peuvent
galement servir de base un virus, un ver ou des chevaux de Troie ou
une chane de messages. Ils demandent quon les envoie toutes les personnes connues et celle qui les reoit peut tre menac de mille foudres en cas de
non-rediffusion.
Avant de faire suivre un tel message, il convient, bien entendu, de sassurer de
son authenticit. Il importe donc de rechercher sur Internet les petits utilitaires permettant de sen dbarrasser. Ils sont fort nombreux.
Les backdoors sont assez difficiles dtecter. Il convient de surveiller les ports
ouverts et de se proccuper de tout comportement inhabituel de lordinateur
(lenteur dexcution ou au dmarrage, etc.). vitez de tlcharger nimporte
quel programme, car il peut contenir une backdoor voulue ou non par le concepteur/crateur du (ou des) programme(s).
Groupe Eyrolles
Les backdoors
Il sagit de portes dentre laisses par les hackers, crackers et autres pirates
qui leur permettent de reprendre facilement le contrle dun ordinateur.
Deux possibilits se prsentent : une seule backdoor bien cache ou un
grand nombre, dans lespoir que lune au moins dentre elles ne sera pas
dtecte. Certaines backdoors ajoutent tout simplement un nouveau
compte au serveur avec le mot de passe choisi par le pirate.
Dautres backdoors modifient le firewall pour quil accepte une adresse IP
dfinie (une que le pirate pourra spoofer facilement). On perd ainsi le
contrle total de son ordinateur ou du serveur. Le pirate peut alors rcuprer les donnes quil souhaite, voler des mots de passe ou mme dtruire
ou modifier des donnes son profit.
Lingnierie sociale
Cette technique est utilise pour se faire passer pour quelquun dautre (en
gnral un des administrateurs du serveur que lon veut pirater) et demander
lordinateur des informations personnelles (logins, mots de passe, accs,
numros, tlphones, donnes, etc.) en inventant un quelconque motif
( plantage du rseau, modification de celui-ci). Elle se fait soit au
moyen dune simple communication tlphonique, soit par message. Lingnierie sociale (social engineering) ne constitue pas une attaque informatique,
mais plutt une mthode pour obtenir des informations sur un systme ou
des mots de passe. Cette attaque peut tre utilise en matire dintelligence
conomique, despionnage technique ou financier.
Pour viter lingnierie sociale, il ne faut pas communiquer de donnes personnelles des personnes dont on nest pas sr de lidentit (une adresse
e-mail nest pas un moyen fiable didentifier une personne). De plus, un
administrateur na pas demander un mot de passe ou un login, le premier
tant priv et le second dj connu de celui-ci. Enfin, il convient de ne
jamais communiquer de donnes importantes par e-mail.
Il est enfin conseill de crypter les donnes transmises par messagerie au
moyen dun logiciel de type AX CRYPT, LAN CRYPT, SECURITY
BOX1, etc.
Les logiciels dattaque et de piratage
Il suffit de se connecter Internet et daller sur les moteurs de recherche
comme Google, Yahoo! ou Altavista pour trouver ce type de programme.
Attention ! Les connexions certains sites laissent des traces sur lordinateur
et laissent la porte ouverte des intrusions de toutes sortes, sans compter les
publicits douteuses.
Groupe Eyrolles
1. Logiciels de cryptage (les donnes de toute nature sont cryptes) : certains retirent les
caractristiques du fichier. Le type de programme utilis pour lancer le fichier ne peut
pas tre dtermin. Exemple : .doc devient 1H2C42.
Explicitations
Faux clavier, fausse faade de distributeur Mise en place de fausses faades de lecautomatique de billets (DAB), faux distribu- teurs. Cette technique est connue sous le
nom de collet marseillais . Elle sest
teur
tendue par la suite aux autres rgions,
ainsi quaux pays voisins. Des systmes de
protection physiques et discrets sont proposs par des entreprises spcialises.
Interception des codes bancaires (secrets)
au niveau des nuds interbancaires
Fabrication de fausses vraies cartes
puce
Greffe dune autre puce sur une carte bancaire existante ou sur une fausse carte
bancaire.
Timing attack
Groupe Eyrolles
Techniques
Explicitations
Toutes ces techniques nont quun but : soutirer de largent une personne
physique, une entit ou un groupe dentits.
Le rle des auditeurs dans le domaine de la cyberfraude est relativement
complexe, car la prvention ncessite des connaissances approfondies en
informatique quil convient de mettre jour en permanence. Cependant,
lauditeur doit imprativement se tenir inform des nouveauts dans le
domaine afin de prvenir sa direction des dangers encourus.
Groupe Eyrolles
Il sera possible alors de faire appel des spcialistes, ou mieux encore dans les
grandes structures internationales de former des auditeurs ce type daudit
complexe.
POUR CONCLURE
Se protger de la fraude sur les systmes dinformations relve du parcours du
combattant. titre dexemple simple, la fraude peut intervenir via un virus, un ver, un
cheval de Troie et une bombe logique. Pour se protger de ceux-ci, un seul antivirus
ne suffit pas. En effet, dans de nombreux cas, les intrus ne sont pas dtects.
La protection doit senvisager ds la conception des applications lorsquelles sont
uniquement destines un usage interne (via un intranet ou les rseaux classiques),
mais a fortiori lorsquelles vont avoir une connectivit avec lextrieur (Internet,
Extranet). Ceci concerne encore plus les entreprises de taille internationale.
Bien entendu, il convient de disposer dantivirus coupls des pare-feux de qualit
(firewalls), qui doivent tre physiques et logiques.
Lintranet doit tre galement protg, tout comme et a fortiori les changes avec les
fournisseurs, les clients, les instances de tutelle ou autres (extranet).
Il convient dorganiser des niveaux daccs Internet et galement de ne pas laisser
de portes ouvertes (ports dentre surveiller).
1. Elle concerne notamment les accs aux ordinateurs par code utilisateur et profil associ
(droits) et mots de passe, les aspects scurit des traitements en production, etc.
Groupe Eyrolles
La scurit logique1 doit donc tre envisage avec srieux, de mme que la scurit
physique. Il est important de se doter dun comit de scurit et dun ou plusieurs
responsable(s) de la scurit des systmes dinformation.
Chapitre 11
Groupe Eyrolles
Les auteurs insistent sur plusieurs lments de la dfinition. Tout dabord, ils
soulignent le caractre inductif de laudit social qui part des faits et de la ralit sociale de lorganisation lorsquils voquent la forme dobservation .
Ils prcisent galement la difficult de recueil des donnes sociales au sein des
entreprises o le primtre de laudit social diffre des primtres usuels de
recueil des donnes sociales et des indicateurs utiliss par les entreprises.
Cette difficult est exacerbe au niveau international car les indicateurs
(lgaux notamment) divergent rgulirement dun pays lautre. Ensuite, les
auteurs prcisent les origines de laudit social et de ses liens forts avec la
notion de prservation et de contrle du patrimoine. Ils spcifient galement
que ce capital peut tre aussi bien financier que social. La richesse dune
entreprise se situe la fois dans ses ressources financires (laudit social contrle donc lusage ralis de ces ressources alloues notamment aux salaires et
autres formes de rtribution) et aussi dans ses ressources humaines (lanalyse
de la GPEC, i.e. la gestion prvisionnelle des emplois et des comptences).
Enfin, les autres lments de la dfinition reprennent les impratifs classiques
des missions daudit, puisquil sagit dvaluation des moyens et des objectifs,
de mise en conformit avec les rgles et dvaluation des risques. Nous
reviendrons sur les risques spcifiques de laudit social.
1. www.audit-social.eu
Groupe Eyrolles
Cette notion de parties prenantes est mise en exergue par dautres auteurs
lorsquils dfinissent laudit social. Ainsi, Combemale et Igalens (2005) analysent le concept daudit social, en spcifiant quil sagit dune forme dobservation qui tend vrifier quune organisation a effectivement ralis ce quelle dit avoir fait,
quelle utilise au mieux ses moyens, quelle conserve son autonomie et son patrimoine,
quelle est capable de raliser ce quelle dit vouloir faire, quelle respecte les rgles de lart et
sait valuer les risques quelle court.
Groupe Eyrolles
En pratique
Le bilan social est divis en sept chapitres :
lemploi (notamment avec la ventilation des effectifs) ;
les conditions dhygine et de scurit (accident du travail) ;
les rmunrations et les charges accessoires (ainsi que dautres modes
de rtribution) ;
les autres conditions de travail (avec notamment lorganisation du temps
de travail),
la formation (par rapport la masse salariale, ce qui correspond aux
impratifs lgaux franais) ;
les relations professionnelles (et notamment le mode de fonctionnement
du comit dentreprise) ;
les autres conditions de vie relevant de lentreprise (uvres sociales, etc.).
Au final, il sagit denviron 80 170 informations que les organisations
doivent fournir chaque anne. Le choix du nombre et des indicateurs prcis
est laiss la discrtion des entreprises qui les adaptent leur activit,
leur taille, leur histoire, etc. Le fait de ne pas normaliser les indicateurs
constitue galement une limite cet outil, qui rend difficile les comparaisons inter-entreprises.
Groupe Eyrolles
Moyens
Un constat
Diagnostic social
Des orientations
Stratgie sociale
Des objectifs
Plan social
Des moyens
Budget social
Des rsultats
Bilan social
Des carts
Des corrections
Audit social
Groupe Eyrolles
Sans dtailler les sept tapes de la planification sociale, laudit social, dans le
cadre de la planification sociale, a pour objectif d aider tous les centres de dci-
sions de lentreprise en leur fournissant des analyses objectives, des apprciations, des
recommandations et des commentaires utiles (Couret et Igalens, 1988). La mission de laudit social prend la forme de lanalyse sociale suivie de proposition
dactions correctives dans le cas dcarts entre les objectifs et les rsultats
effectifs de lentreprise. Lauditeur social se doit galement de faire ressortir
les risques encourus et de les valuer.
Groupe Eyrolles
En pratique
Ces cinq indicateurs (nombre de jours de grves, taux dabsentisme,
nombre daccidents du travail, nombre de jours darrts maladie, turnover)
reprsentent des signaux dalerte cls pour lauditeur social. Ce sont les
premiers lments sociaux quil se doit danalyser afin de jauger le risque
social de lorganisation auditer.
Groupe Eyrolles
Il repose sur lanalyse des rsultats par rapport aux objectifs de lentreprise.
Lauditeur mesure en fonction des lments prexistants les objectifs de la
structure et leur ralisation. Le dispositif prexistant sappuie le plus souvent
sur les tableaux de bord sociaux, le dveloppement dun contrle de gestion
social et le bilan social. Lauditeur value alors les critres de qualit des indicateurs utiliss par lentreprise. Les principaux critres de qualit sont :
la fidlit de lindicateur ;
sa validit ;
sa sensibilit ;
sa stabilit ;
sa comparabilit.
Lauditeur effectue ici un contrle trois niveaux. Le premier consiste
contrler la cohrence des procdures avec les choix de lentreprise. titre
dexemple, si lentreprise veut sinternationaliser, lauditeur peut vrifier que
Groupe Eyrolles
Le premier niveau
Groupe Eyrolles
phases et en programmes : lauditeur tudie la stratgie sociale et son oprationnalisation concrte. Il procde donc lanalyse des diffrentes phases du
processus de planification stratgique et en particulier examine les modalits
de suivi et dvaluation permettant ladquation des politiques sociales.
Lauditeur value galement la capacit des plans et des programmes traduire lensemble de la stratgie sociale.
De plus, il value la convergence de la stratgie sociale et de la stratgie gnrale de lentreprise. Lauditeur interroge alors la stratgie sociale sur sa capacit tre un lment favorisant la russite de la stratgie gnrale. Il doit
rpondre la question suivante : lentreprise dispose-t-elle des ressources
humaines adaptes aux objectifs quelle sest fixs ?
En guise de synthse, voici un schma reprenant les questions principales de
lauditeur social lors de la ralisation des diffrents types daudits sociaux.
Audit de conformit
Audit d'efficacit
Audit stratgique
Efficacit cot/avantage ?
Cohrence des procdures et
pratiques ?
Cohrence de stratgie
sociale avec la stratgie et
les objectifs de l'entreprise ?
Maintenant que nous avons prsent les diffrents types daudits sociaux et
leur rle dans lentreprise, prcisons la mthodologie spcifique laudit
social. Cette tape nous permettra ensuite de mesurer limportance de sa
contextualisation et les difficults que cela peut entraner au sein dune multinationale.
Groupe Eyrolles
Informations et ngociations
La premire tape concerne la recherche dinformations ainsi que les ngociations pralables la mission. Lauditeur ngocie les termes de la lettre
daudit avec les demandeurs de la mission. Ce document dfinit les objectifs
de la mission ainsi que son primtre daction et les lments de logistique et
de paiement.
Une fois les contours de la mission dfinis, lauditeur sattelle la phase de
recueil dinformations particulirement importantes. Un auditeur junior se
doit de soigner cette phase pour simprgner de lexprience de ses pairs.
Groupe Eyrolles
Le recueil dinformations sarticule autour de plusieurs objectifs complmentaires. Il sagit dabord de prendre connaissance de lentreprise en tudiant son histoire, ses chiffres cls et les rapports daudit raliss
prcdemment. Le deuxime objectif vise construire le rfrentiel sectoriel
de lentreprise. Pour cela, une tude approfondie du secteur doit tre effectue afin dlaborer un rfrentiel pouvant servir de cadre et de rfrent tout
au long de la mission. Cette tape de recueil dinformation est dautant plus
stratgique quun rfrentiel incomplet peut faire manquer lauditeur une
problmatique importante.
Enfin, le troisime objectif de cette tape de recueil dinformations consiste
en un premier test de la relation avec les diffrentes parties prenantes de
lorganisation.
Concrtement, ces trois objectifs prennent la forme de recueils et danalyses
de documents et dinterviews avec des reprsentants des parties prenantes
En pratique
Le rfrentiel sectoriel permet aussi de relativiser certaines donnes de
lentreprise. titre dexemple, le taux de turnover varie normment en
fonction des secteurs dactivit. Dans celui de lhtellerie et de la restauration, il est bien plus lev que dans la plupart des autres secteurs.
Groupe Eyrolles
Pour raliser lchantillonnage, lauditeur social doit avant toute chose dfinir les critres diffrenciants (ge, sexe, anciennet, niveau hirarchique, service, etc.) de la population tudie. Les entretiens raliss en prambule
aident dfinir des critres pertinents. Ensuite, lauditeur recense les personnes correspondant aux critres, pour ensuite procder un tirage au sort
alatoire des personnes rencontrer au sein du recensement.
Analyse de contenu
Une fois les entretiens raliss, lauditeur social effectue une analyse de
contenu des retranscriptions des entretiens. Laudit slectionne les thmatiques importantes ainsi que les sous-thmes rcurrents lors des interviews.
Cette construction de larborescence des thmes et des sous-thmes reprsente une tape cl de laudit social.
lissue de cette premire analyse, laudit peut choisir de valider ces hypothses dexplication par ladministration dun questionnaire diffus
lensemble de la population tudie. Ainsi, les pistes de rflexion provenant
de lanalyse de contenu peuvent tre valides ou invalides. Le choix de
loutil danalyse des rsultats statistiques est dterminant et peut orienter les
rsultats. Cest pourquoi il est fondamental de choisir son appareillage statistique a priori.
Groupe Eyrolles
Nous avons voqu dans le dtail ce qui fonde laudit social, les trois types
daudit sociaux, ainsi que la mthodologie ddie. Dterminons maintenant
la complexit de laudit social dans un contexte international. Pour cela,
nous nous appuyons sur le cas dun audit social dans une multinationale,
pour mettre en vidence les problmatiques mergeant de la diversit des
contextes.
Groupe Eyrolles
Pour augmenter lappropriation du plan daction par les acteurs de lentreprise et la ralisation des actions mener, lauditeur social peut soumettre ses
ides de recommandations des acteurs cls de lentreprise. Ainsi, ces interlocuteurs rendent compte de la faisabilit des actions et permettent des ajustements ncessaires. Le plan daction aura alors bien plus dimpact dans
lentreprise, ce qui reprsente le succs (ou lchec) dune mission daudit
social. Louart et Beaucourt (2005) prcisent dailleurs que pour pondrer
les variables quon juge utiles et pertinentes un moment donn, il importe
donc de maintenir nos changes entre les acteurs concerns .
Groupe Eyrolles
Plus concrtement, lauditeur social au sein dune multinationale construit un rfrentiel et un guide daudit avant chacune de ses missions. Un
socle commun dlments auditer revient systmatiquement lors de la
constitution du rfrentiel. cela sajoutent des lments propres au sec-
Groupe Eyrolles
Groupe Eyrolles
1. www.vigeo.com/csr-rating-agency/fr/methodologie/critresderecherche/37-criteresdanalyse.html
Groupe Eyrolles
Pour cela, le cabinet se rfre aux textes de lois fondateurs tels que les dclarations de lONU et de lUE. Ces indicateurs se retrouvent dans la dmarche
daudit social qui intgre alors de plus en plus un volet daudit de RSE. Si
Egg (2005) considre que laudit de RSE balbutie encore , il semble toutefois
que son dveloppement reprsente une tendance importante et quil replace
alors laudit social au cur des proccupations stratgiques. Laudit social
devient un moyen de communiquer avec les parties prenantes et un lien
nouveau avec celles-ci.
Pour aller plus loin,Vatteville et Joras (2000) considrent quun modle universel de gestion est en train de voir le jour via le dveloppement des normes
internationales (ISO 9 001 et ISO 14 000 notamment). Prsentes dans de
nombreuses multinationales, quel que soit le pays, ces normes participent
une harmonisation des modes de gestion et des standards. Laudit social
reprsente une des dimensions de ces normes, comme le montre le
schma n 3.
Audit financier
RESSOURCES FINANCIRES
Bilan comptable
Responsabilit financire
DVELOPPEMENT DURABLE
Responsabilit sociale
RESSOURCES HUMAINES
Bilan social
Audit social
Responsabilit cologique
RESSOURCES HUMAINES
Bilan cologique
Audit d'environnement
Groupe Eyrolles
POUR CONCLURE
Groupe Eyrolles
Chapitre 12
Laudit stratgique :
positionnement, dmarche et risques
PAR PATRICIA COUTELLE-BRILLET,
Matre de Confrences lInstitut dAdministration des
Entreprises (IAE) de lUniversit Franois-Rabelais
de Tours
audit stratgique est associ lune des sciences de gestion les plus difficiles apprhender en entreprise. Conu comme une confrontation
de lensemble des politiques et stratgies de lentreprise avec le milieu dans
lequel elles se situent pour en vrifier la cohrence globale, il peut transformer de manire durable lorganisation par les prconisations pouvant tre
suggres. Cest pourquoi il se rvle trs dlicat raliser et demande une
grande connaissance et exprience de lentreprise.
Groupe Eyrolles
En thorie, lauditeur doit jouer un rle dans lapprciation de la performance. Il doit sassurer quune norme de performance est prsente dans
lentreprise. En pratique, il permet de clarifier de manire prcise le rle
dapprentissage et de transformation dune entreprise dans un environnement en perptuel mouvement. Ces notions sont mises en exergue de
manire encore plus cruciale dans un contexte international o les conditions socioculturelles sont diffrentes. Laudit stratgique peut aisment
sappliquer toutes les entreprises, car il doit tre mis en place de manire
indiffrencie dans la maison mre, les filiales, les Strategic Business Units
(SBU), les dpartements et le capital humain : il sapplique lentreprise dans
sa globalit.
Ce chapitre vise prsenter, dans un premier temps, les principales volutions de la stratgie afin de prciser son positionnement et ses rles dans
lentreprise ; dans un deuxime temps, prciser la dmarche et les principes
ncessaires ltablissement dun audit stratgique ; enfin dans un troisime
temps, dtailler les risques lis la ralisation de laudit, afin de conclure sur
la ncessaire mise en place dune vision partage.
Groupe Eyrolles
La stratgie est dfinie selon Thitart (1993) comme lensemble des dcisions
et des actions relatives au choix des moyens et larticulation des ressources en vue
datteindre un objectif . ce titre, elle devient le coordinateur de toutes les
fonctions de lentreprise et engage de faon durable, voire dfinitive, le devenir de lentreprise. Au cours des dernires dcennies, la vision stratgique
fdratrice a volu et permet denrichir considrablement les indicateurs
que lentreprise peut apprhender (Durieux et al., 2000).
Groupe Eyrolles
Enfin dans les annes 1990, les tendances se sont orientes vers les processus
sous-jacents la construction et la mise en place de la stratgie. Elles considraient la stratgie en termes de processus plus que de contenu et sarticulaient
autour de concepts comme le changement et la complexit. Elles ont fait
appel lapprentissage organisationnel et au jeu des acteurs susceptibles
dimposer des dynamiques la trajectoire stratgique. Cette vision rcente a
mis en exergue les processus de dcision au sein de lentreprise et soulign les
allers-retours entre la stratgie et lorganisation.
Par la comprhension de ces volutions, lauditeur interne, dans le domaine
de la stratgie, doit porter son attention sur deux grands lments : la planification stratgique et les liens stratgie/organisation.
La planification stratgique
En dcembre 2005, lExpansion Management Review publiait les rsultats de
lenqute mondiale du cabinet de conseil amricain Bain & Co sur les outils
de management les plus utiliss par les entreprises dans lobjectif dune amlioration de leur rsultat net. En tte de ces outils, la planification stratgique
est utilise par 79 % des entreprises et donne le premier taux de satisfaction.
Cet outil, qui concide gnralement avec une vision de long terme de
lentreprise, est aujourdhui plbiscit par les chefs dentreprise comme un
instrument indispensable de pilotage de la performance.
La planification stratgique reprend les principales volutions de la stratgie,
savoir la vision descriptive de lcole de Harvard, lanalyse matricielle,
lanalyse concurrentielle et lapproche par les ressources rares. En effet,
quatre grands lments sont pris en considration pour tablir cette
planification : dfinition des objectifs, dfinition des mtiers (ressources
rares), analyse de lenvironnement (cole de Harvard, Porter) et analyse des
potentiels existants (matrices) comme le montre le schma ci-aprs.
La dfinition des objectifs court terme, mais surtout moyen et long terme
constitue une tape incontournable de la planification. Elle permet de dfinir une ligne directrice pour lentreprise et dorienter celle-ci vers une vision
commune. La dfinition des mtiers engendre une rflexion sur les ressources dont dispose lentreprise. Quels sont les lments principaux qui peuvent
lui permettre de sengager dans tel secteur ou lobligent se dsengager de tel
autre ? Lanalyse de lenvironnement met en exergue la position de lentreprise par rapport aux diffrentes parties prenantes :
le macro-environnement (politique, conomique, socioculturel, technologique, environnemental, lgal) ;
le micro-environnement avec les concurrents, les fournisseurs et les
clients.
Groupe Eyrolles
Dfinition
des mtiers
Dfinition
des objectifs
Analyse de
l'environnement
DAS exploits
Autres DAS
possibles
valuation
du portefeuille
volution
des DAS
Analyse des
potentiels existants
Segmentation
stratgique
Rflexion
stratgique
Choix d'un
portefeuille de DAS
Corporate
strategy
Segmentation
des DAS
Business
strategies
Choix d'une
stratgie par DAS
valuation du plan
stratgique
Planification
stratgique
Dfinition des
objectifs du plan
stratgique
Cohrence
finalit/stratgie
Stratgie
choisie
Mise en oeuvre
= action
Budget
par fonction
Projet
d'entreprise
Phase
tactique
Contrle
budgtaire
Animation
des hommes
Groupe Eyrolles
actions entreprises. Enfin, la ralisation dun plan implique la prise en considration de toutes les ventualits possibles et prvoit par consquent la gestion de crise.
Nanmoins, la planification reste associe un management par les objectifs
(direction par objectif et direction participative par objectif) qui sont, notamment dans le cadre dune entreprise internationale, de plus en plus difficiles
fixer (Delavalle, 2005). Cette notion dobjectif de performance doit donc
tre associe aux modes dorganisation prsents dans lentreprise, qui vont
conditionner la russite de la planification.
Quel que soit le mode dvolution observ, ladaptation de la structure prsente une plus ou moins grande inertie, le passage laction se caractrisant
par une grande immobilit des comportements au sein de lorganisation. La
structure ne doit pas tre considre comme un simple moyen de mise en
uvre de la stratgie, mais constituer lun des axes essentiels de la rflexion
sur le management de lentreprise. Autrement dit, le comportement stratgique doit tre induit, cest--dire prendre en compte le contexte structurel de
lentreprise, model lui-mme par les stratgies poursuivies antrieurement.
Groupe Eyrolles
La structure de lentreprise semble un lment cl de la stratgie de lentreprise. une volution de la stratgie doit correspondre, sous peine dinefficacit, une volution concomitante de la structure. Cette adaptation peut
tre mene de diffrentes manires :
incrmentale : modification sur une priode assez longue pour rpondre
des contraintes ;
brutale : le changement de structure est mis lhonneur, car la stratgie
implique une raffectation des responsabilits, un nouvel organigramme ;
planifie lavance : une adaptation programme et un apprentissage progressif des nouveaux modes daction se met alors en place.
Groupe Eyrolles
Le recueil dinformations
Cette premire tape est cruciale dans la mise en place dun audit stratgique
(Besson et Possin, 2002). Deux lments importants la composent : le recensement des interlocuteurs et la recherche de toutes les sources dinformation
ncessaires laudit.
Le principal interlocuteur de laudit stratgique est souvent le directeur de
lentreprise ou un membre de la direction gnrale. Cest lui qui fournira
lauditeur les cls de la recherche dinformation dans lentreprise. Il est aussi
le pilote essentiel de la stratgie et, ce titre, il est important de prendre en
compte sa vision et ses rflexions qui permettront dvaluer la pertinence et
ladquation de la stratgie en cours. Cest aussi le directeur qui donnera
lauditeur les sources dinformation ncessaires ltablissement de son audit.
Dautres personnes sont alors susceptibles dtre interroges : les directeurs
des principales fonctions (marketing, finances, ressources humaines, production, recherche, etc.), les responsables du ple dinformation et du ple
dtudes et peut-tre aussi des sources externes lentreprise (fournisseurs,
sous-traitants, clients).
Quant au diagnostic interne, il vise la fonction stratgie et les principaux lments facilitant sa ralisation :
la stratgie : les grandes options stratgiques (spcialisation, diversification, intgration, innovation) ; analyse du portefeuille dactivits de
lentreprise ;
les modes dorganisation (structure simple/matricielle ; mode de gestion
hirarchique/partag) ;
les procdures (systme de planification, systme de contrle) ;
la productivit (analyse de rentabilit).
Groupe Eyrolles
Les informations que doit rassembler lauditeur sont externes et internes afin
de pouvoir effectuer un diagnostic complet de lentreprise. Ainsi, le diagnostic externe concerne lenvironnement :
macro-environnement : environnement politique (stabilit/instabilit),
conomique (indicateurs), sociologique (tendances dmographiques et
de comportement), technologique (progrs technique), cologique
(dveloppement durable), lgal (aspects juridiques) ;
micro-environnement : demande (quantitative et qualitative), offre
(quantitative et qualitative), structure concurrentielle (place et image des
principaux concurrents).
Groupe Eyrolles
Une entreprise connat une performance moyenne, mais possde des comptences pouvant tre largies dautres secteurs dactivits. Laudit peut
suggrer une diversification. Lestimation des consquences (financires,
humaines, matrielles, dimage) lies cette problmatique va permettre
de hirarchiser les principaux facteurs lis cette problmatique et denvisager les secteurs dactivits prioritaires qui conviendraient pour amliorer
la performance de lentreprise.
Le rfrentiel nest toutefois pas un outil statique : les standards de comparaison des indicateurs et mme les indicateurs eux-mmes peuvent varier de
faon tre en cohrence avec lvolution de lenvironnement et la stratgie
mene par lentreprise. Ltablissement dun rfrentiel permet simplement
dinitier la dmarche afin dassurer la cohrence de la stratgie de lentreprise
et permettre son suivi.
Groupe Eyrolles
Indicateurs
Performance boursire
Performance financire
Performance conomique
Taux de croissance
Part de march
Implantation internationale
Performance sociale
Niveau de rmunration
Formations proposes
Taux de turnover
Indice de satisfaction
Performance socitale
Groupe Eyrolles
La prise en compte de cette multiplicit amne laudit stratgique bnficier dune vision plus lointaine de lactivit de lentreprise. Il sagit l non
seulement de la prise en compte des comptes et des dividendes de lentreprise pour une anne, mais galement de la vrification de la mise en place
de conditions dune performance durable.
La politique de benchmarking et la vrification de la notion de performance
multiple constituent les principes essentiels de laudit stratgique. Lauditeur
doit, par son valuation de la planification stratgique, sassurer dune vision
long terme pour lentreprise. Mais cette planification doit tre communique et comprise par toutes les SBU. Cest l le deuxime principe essentiel
de mise en place dun audit stratgique.
Lauditeur doit sassurer que la stratgie est bien dcline selon ces trois
niveaux. Cette dclinaison correspond une volution rcente de la stratgie
qui ne prend pas simplement en compte le dterminisme de lenvironnement, mais admet que les parties prenantes associes lentreprise jouent un
rle dans ltablissement de la stratgie. Nanmoins, des risques subsistent et
renforcent la ncessit dune vision partage de la stratgie dans lentreprise
afin dviter lchec de sa mise en place.
Groupe Eyrolles
La conscience du management
Groupe Eyrolles
Il importe dapprcier le rle intrinsque de lorganisation dans lamlioration de la performance. Beaucoup de dirigeants ont hrit du modle de leur
organisation et ne disposent ni du temps ni des ressources ncessaires pour
apprcier quel point il est fonctionnel. Sils se heurtent limpossibilit de
raliser leurs objectifs, il est exceptionnel quils recherchent dans lorganisation les interactions, les arrangements et les motivations qui sont la source de
la non-application de la stratgie.
La taille et la complexit
partir dune certaine taille, les entreprises internationales ne peuvent plus
garantir lhomognit de leurs dcisions dans les transactions. Pour maintenir
le contrle et tirer profit des spcialisations fonctionnelles, elles sont obliges
Lorganisation, les SBU et le capital humain ne doivent pas simplement saligner sur la stratgie prne par les dirigeants de lentreprise, mais en devenir
les lments cls. Cette vision, qui rpond la complexit de la stratgie
aujourdhui, amne reconsidrer le rle de lauditeur, qui doit repenser la
construction de son rfrentiel de cohrence avec lensemble des acteurs de
lentreprise. Il sagit dtablir une vision partage de la stratgie de lentre-
Groupe Eyrolles
POUR CONCLURE
Laudit stratgique reprsente un outil puissant, car il permet lentreprise de se
donner les conditions dune bonne sant long terme. Il doit nanmoins prendre en
considration lvolution de la stratgie, qui est passe dun dterminisme trs
analytique une complexit pousse en termes de processus.
Lauditeur, dans sa dmarche danalyse, doit respecter certains principes : sassurer
dune performance ralisable et multiple et de lalignement de la stratgie avec
lorganisation, les SBU et le capital humain.
Groupe Eyrolles
Conclusion gnrale
Groupe Eyrolles
Cet ouvrage a ainsi tent de faire ressortir les enjeux et les spcificits de
laudit interne dans un environnement international. Il soulve galement
des interrogations et des problmatiques qui interpellent tant les professionnels que la communaut scientifique.
En premier lieu, laudit interne sinsre dans le processus daudit global,
lequel inclut, outre les travaux de lauditeur interne, ceux de lauditeur statutaire. Aprs stre penchs sur les dterminants de qualit de laudit lgal, puis
Groupe Eyrolles
Groupe Eyrolles
Bibliographie gnrale
Adams, M.B., Agency Theory and the Internal Audit , Managerial Auditing Journal, 1994,
vol. 9, n 8, pp. 8-12.
Agrawal, A., Jaffe, J., Mandelker, G., The Post-Merger Performance of Acquiring Firms :
A Re-examination of an Anomaly , Journal of Finance, 1992, vol. 47, pp. 1605-1621.
Albouy, M., qui profitent les fusions-acquisitions ? Le regard du financier , Revue Franaise de Gestion, 2000, n 131, pp. 70-84.
Albrecht, W.S., Howe, K.R., Schueler, D.R., Stocks, K.D., Evaluating the Effectiveness of Internal Audit Departments, Altamonte Springs, Florida : the Institute of Internal Auditors, 1988.
Al-Twaijry, A.A.M., Brierley, J.A., Gwilliam, D.R., The Development of Internal Audit in
Saudi Arabia : an Institutional Theory Perspective , Critical Perspectives on Accounting, 2003,
vol. 14, pp. 507-531.
Asare, S.K., Davidson, R.A., Gramling, A.A., The Effect of Management Incentives and
Audit Committee Quality on Internal Auditors Planning Assessments and Decisions,
avril 2003, working paper, www.ssrn.com
Autissier, D., Nature des changements produits par une mission daudit interne , Comptabilit-Contrle-Audit, 2001, pp. 87-103.
Baker, G., Jensen, M., Murphy, K., Compensation and Incentives : Practice vs. Theory ,
The Journal of Finance, 1988, vol. 43, n 3, pp. 593-616.
Barabel, M., Meier, O., Biais cognitifs du dirigeant, consquences et facteurs de renforcement lors de fusions-acquisitions : synthse et illustrations , Finance-Contrle-Stratgie, 2002,
vol. 5, n 1, pp. 5-42.
Batsch, L., Le recentrage : une revue des approches financires , Finance-Contrle-Stratgie,
2003, vol. 6, n 2, pp. 43-65.
Bcour, J.-C., Bouquin, H., Audit oprationnel, conomica, 1991.
Bcour, J.-C., et Bouquin, H., Audit oprationnel - Efficacit, Efficience ou scurit, conomica,
2e d., 1996.
Bennett, J.W., Hedlund, S.B., Kocourek, P.K. et Persteiner, T.E., Organisation et
stratgie : le paradoxe de lalignement, LExpansion Management Review, mars 2001, pp. 614.
Berle, A., Means, G., The Modern Corporation and Private Property, McMillan, New York,
1932.
Berry, J., Acculturation as Varieties of Adaptation in Acculturation Theory, Models and
Some New Findings, A. Padilla,Westview Press, Boulder, Colorado, 1980.
Bertin, E., Jaussaud, J., Kanie, A., Audit lgal et gouvernance dentreprise : une comparaison France/Japon , Comptabilit, Contrle, Audit, numro spcial international, mai 2002.
Besson, B., et Possin, J.-C., Laudit de lintelligence stratgique, Dunod, 2e d., 2002.
Blair, M., Ownership and Control : Rethinking Corporate Governance for the Twenty-First Century,
Washington : Brookings, 1995.
Bouquin, H., Audit ; contrle Encyclopdie de gestion, conomica, 1997, pp. 200218 ; pp. 667-686, sous la direction de Simon,Y. et Joffre, P.
Bouquin, H., Audit, Encyclopdie de Gestion, sous la direction de Simon, Y. et Joffre, P., conomica, 2000, pp. 200-218.
Bouquin, H., Le contrle de gestion, PUF, 2001.
Braiotta, L., The Audit Committee Handbook, (3rd Edition), New York : John Wiley and Sons
Inc., 1999.
Brody, R.G., Lowe, D.J., The New Role of the Internal Auditor : Implications for Internal
Auditor Objectivity , International Journal of Auditing, 2000, vol. 4, pp. 169-176.
Broussal, D. Le whistleblowing la franaise : les prcautions prendre , Le Journal du Net
(www.journaldunet.com), 2005.
Buono, A., Bowditch, J., The Human Side of Mergers and Acquisitions : Managing Collisions
Between People, Cultures and Organizations, Jossey-Bass Publishers, San Francisco, 1989.
Caby, J., Hirigoyen, G., Cration de Valeur et Gouvernance de lEntreprise, 3e d., conomica,
2005.
Candau, P., Audit social,Vuibert, 1985.
Canto-Sperber, M., et Ogien, R., La philosophie morale, coll. Que Sais-Je ? , PUF, 2004.
Carcello, J.V., Hermanson, D.R., Raghunandan, K., Changes in Internal Auditing During
the Time of the Major US Accounting Scandals , International Journal of Auditing, 2005,
vol. 9, pp. 117-127.
Carlevaris, A., et Spitz, B. Whistleblowing : quand un rapport propose dlargir le
domaine de lalerte professionnelle, la CNIL siffle le hors-jeu , Juriscom.net, 25 avril 2007
(www.juriscom.net).
Cartwright, S., Cooper, C.L., The Role of Culture Compatibility in Successful Organizational Marriage , Academy of Management Executive, 1994, vol. 72, n 2, pp. 57-69.
Casta, J.-F., Mikol, A., Vingt ans daudit : de la rvision des comptes aux activits
multiservices , Comptabilit Contrle Audit, numro spcial Les vingt ans de lAFC
mai 1999, pp. 107-121.
Cercle dthique des affaires Pour un whistleblowing la franaise , Revue Banque Stratgie, n 228, juillet-aut 2005, pp. 25-26.
Chaput,Y. Le commissaire aux comptes, partenaire de lentreprise, Presses Universitaires de Sciences Po, Creda, 1999.
Charreaux, G., Vers une thorie du gouvernement des entreprises , in Le gouvernement
dentreprise : Corporate Governance, thories et faits, Grard Charreaux diteur, conomica,
1997.
Charreaux, G., Les thories de la gouvernance : de la gouvernance des entreprises la
gouvernance des systmes nationaux , Cahiers du FARGO, n 1040101, Universit de
Bourgogne, dcembre 2004.
Clark, M., Gibbs, T., Schroeder, R., CPAs Judge Internal Audit Department Objectivity ,
Management Accounting, February 1981, pp. 40-43.
CNIL, Document dorientation adopt par la Commission le 10 novembre 2005 pour la
mise en uvre de dispositifs dalerte professionnelle conformes la loi du 6 janvier 1978
modifie en aot 2004, relative linformatique, aux fichiers et aux liberts , 2005.
CNIL Alertes professionnelles (whistleblowing), le groupe des autorits europennes de
protection des donnes (G29) sur la mme ligne que la CNIL (www.cnil.fr), 2006.
Groupe Eyrolles
Groupe Eyrolles
Coase, R.H., The Nature of the Firm , Economica, vol. 4, November 1937, pp.331-351
ou La nature de la firme , Revue Franaise dconomie, 1987, vol. 2, n 1, pp. 133-163.
Committee of Sponsoring Organisations of the Treadway Commission (COSO), Internal
Control Integrated Framework, AICPA, New York, 1992.
Couret, A., Igalens, J., LAudit social, coll. Que-sais-je ? , PUF, 1988.
Courrent, J.-M. thique et petite entreprise , Revue Franaise de Gestion, 2002, pp. 139152.
Datta, D., Puia, G., Cross-Border Acquisition : an Examination of the Influence of Relatedness and Cultural Fit on Shareholder Value Creation in US Acquiring Firms , Management International Review, 1995, vol. 35, n 4, pp. 337-359.
De Angelo, L., Auditor Independance, Low Balling, and Disclosure Regulation , Journal
of Accounting and Economics, 1981a, n 3, pp. 113-127.
De Angelo, L., Auditor Size and Audit Quality , Journal of Accounting and Economics,
1981b, vol. 3, pp. 183-199.
Djean, F., Contribution ltude de linvestissement socialement responsable : les stratgies de lgitimation des socits en gestion, thse de doctorat, Universit Paris-Dauphine, 2004.
Delavalle, E., La direction par les objectifs, et aprs ? , LExpansion Management Review,
juin 2005, pp. 83-91.
Depret, M.H., Hamdouch, A., Gouvernement dentreprise et performance , in Gouvernement dentreprise. Enjeux managriaux, comptables et financiers, De Boeck, 2005, pp. 39-79.
Dezoort, F.T., Houston, R.W., Peters, M.F., The Impact of Internal Auditor Compensation and Role on External Auditors Planning Judgments and Decisions , Contemporary
Accounting Research, vol. 18, n 2, Summer 2001, pp. 257-281.
Dickie, R., Michel, A., Shaked, I., The Winners Curse in the Merger Game , Journal of
General Management, 1987, vol. 12, n 3, pp. 32-51.
Directive 2006/43/CE dite 8me Directive du 17 mai 2006, Journal Officiel de lUnion
europenne, 9 juin 2006.
Dosi, G., Sources, Procedures and Microeconomics Effects of Innovation , Journal of Economic Literature, 1988, vol. 26, n 3, pp. 1120-1171.
Durieux, F., Girod-Sville, M., Perret,V., De la planification stratgique la complexit ,
LExpansion Management Review, 2000, pp. 82-92.
Ebondo, E., Pig, B., Larbitrage entreprise/march : le rle du contrle interne, outil de
rduction des cots de transaction , Comptabilit Contrle Audit, tome 8, vol. 2, novembredcembre 2002, pp. 51- 67.
Ebondo Wa Mandzila, E., La gouvernance de lentreprise. Une approche par laudit et le contrle
interne, LHarmattan, 2006.
ECIIA, Internal Auditing in Europe, Position paper : www.eciia.org, February 2005.
Egg, G., Le social dans la grande marmite de laudit , Actes du Congrs de lIAS, IAE
de Lille, septembre 2005.
Fama, E., Jensen, M., Separation of Ownership and Control , Journal of Law and Economics, 1983, vol. 26, pp. 301-326.
Felix, W.L., Gramling, A.A., Maletta, M.J., The Contribution of Internal Audit as a Determinant of External Audit Fees and Factors Influencing this Contribution , Journal of Accounting Research, 2001, vol. 39, n 3, pp. 513-534.
Feron, M., Comment passer un audit social de troisime gnration ? , Actes du
Congrs de lIAS, IAE de Lille, septembre 2005.
Groupe Eyrolles
Groupe Eyrolles
IIA, Standards for the Professional Practice of Internal Audit, Altamonte Springs, Florida : the Institute of Internal Auditors, 2000, 2002.
IIA, Internal Auditings Role in Sections 302 and 404 of the U.S. Sarbanes-Oxley Act of
2002, www.theiia.org, May 2004.
IIA, Organizational Governance : Guidance for Internal Auditors, Position Paper :
www.theiia.org, July 2006.
Internal Control Working Party, Guidance for Directors on the Combined Code, (The Turnbull
Report), ICAEW, London, 1999.
Iribarne (d), P., La logique de lhonneur : gestion des entreprises et traditions nationales, Le Seuil,
1993.
Isaac, H. Les codes de dontologie : outil de gestion de la qualit dans les services
professionnels ,Thse, Universit Paris IX Dauphine, 1996.
ISEOR, Laudit social au service du management des ressources humaines, conomica, 1994.
Jemison, D., Sitkin, S., Corporate Acquisitions : A Process Perspective , Academy of Management Review, 1986, vol. 11, n 1, pp. 145-163.
Jensen, M.C., Meckling, W.H., Theory of the Firm : Managerial Behavior, Agency Costs
and Ownership Structure , Journal of Financial Economics, October 1976, pp. 305-360.
Jensen, M., Takeovers : their Causes and Consequences , Journal of Economic Perspectives,
1986, vol. 2, pp. 21-48.
Jobart, J.-P., Navatte, P., Raimbourg, P., Finance, Dalloz, 1994.
Kalbers, L.P., Audit Committees and Internal Auditors , Internal Auditor, vol. 49, n 6,
December 1992, pp. 37-44.
Kaplan, R.S., et Norton, D.P., The Office of Strategy Management , Harvard Business
Review, octobre 2005.
Kaplan, R.S., Norton, D.P., Lalignement stratgique, ditions dOrganisation, 2007.
Kerorguen (de),Y., Le whistleblowing : un cas de conscience , Article 1 680, www.placepublique.fr, 2005.
Kiessling, T., Harvey, M., The Human Resource Management Issues during an
Acquisition : the Target Firms Top Management Team and Key Managers , International
Journal of Human Resource Management, 2006, vol. 17, n 7, pp. 1307-1320.
Koenig, G., Management stratgique : paradoxes, interactions et apprentissages, Nathan, 1996.
Krishnamoorthy, G., A Multistage Approach to External Auditors Evaluation of the Internal Audit Function , Auditing : a Journal of Practice and Theory, 2002, vol. 21, n 1, pp. 95121.
Lamarque, E., Management de la Banque : risque, relation client, organisation, Pearson, 2005.
Lamarque, E., Gestion Bancaire, Pearson & E-node, 2003.
Lazonick, W, OSullivan, M., Perspectives on Corporate Governance, Innovation and
Economic Performance , CGEP, European Institute of Business Administration, Insead,
juin 2000.
Lemant, O., (dir.) La direction dun service daudit interne , IfAcI, 1995.
Loi de Scurit Financire, n 2003-706 du 1er aot 2003, Journal Officiel, 2 aot 2003.
Loi Godfrain relative la fraude informatique, n 88-19 du 5 janvier 1988, Journal Officiel,
6 janvier 1988.
Loi sur les Nouvelles Rgulations conomiques n 2001-420 du 15 mai 2001, Journal Officiel, 16 mai 2001.
Groupe Eyrolles
Groupe Eyrolles
Groupe Eyrolles
Groupe Eyrolles
des Affaires (MBA) Alger. Docteur en sciences de gestion, docteur troisime cycle
en conomie et droit des transports ariens, DESS Finance et Mastre spcialis en
Audit interne et contrle de gestion, il a t auditeur interne dans une banque, consultant dans un cabinet daudit, directeur administratif et financier dans une entreprise de services. Il est lauteur de plusieurs articles et dun ouvrage sur laudit, le
contrle interne et la gouvernance dentreprise. Ses recherches portent sur les
aspects internationaux de laudit, la qualit de laudit, lefficacit des comits spcialiss, la responsabilit sociale, environnementale et les modes de gouvernance.
Diplme dune cole suprieure de commerce, Florence Fradin a t auditrice
interne au sein du Groupe La Poste puis responsable de la Recherche lIfAcI. Elle
a particip au Groupe de Place, cr linitiative de lAutorit des Marchs Financiers pour laborer un cadre de rfrence de Contrle Interne Franais. Elle est
actuellement, responsable Rfrentiels dAudit Interne et Qualit au sein de lInspection Gnrale de BNPParibas.
Docteur en sciences de gestion, Christophe Godowski est Matre de Confrences lIAE (Universit Franois-Rabelais) de Tours. Responsable du Master 2
Ingnierie et Politique Financires au sein de cet IAE, il est charg denseignements en finance dentreprise et en finance bancaire et notamment du cours de
gouvernance au sein du Master 2 Audit des entreprises internationales. Ses travaux
de recherche portent essentiellement sur la gouvernance bancaire.
Francis Lamarque, ancien cadre dirigeant du Groupe Crdit Agricole, est, depuis
2006, consultant senior associ de Lamarque Associs Consulting, en charge de
missions de conseil et daudit auprs des principaux groupes bancaires mutualistes.
En capitalisant sur vingt-cinq ans dexprience de direction gnrale de banques
rgionales il sest spcialis dans la conduite de grands projets de migration de systme dinformation, de fusion, de restructuration et de redressement de filiales du
groupe, notamment comme administrateur directeur gnral de la Banque Franaise Commerciale Antilles-Guyane et directeur gnral de la Caisse Rgionale de
Crdit Agricole de Corse. Cest dans ces zones sensibles en matire de dlinquance
financire, sous haute surveillance des rgulateurs, quil a conduit des missions
approfondies daudit prventif sur le contrle interne, la lutte contre le blanchiment
Groupe Eyrolles
ric Lamarque est Professeur agrg en sciences de gestion lUniversit Montesquieu Bordeaux IV et directeur du groupe de recherche sur la gestion et la gouvernance des banques. Il est lauteur de plusieurs ouvrages et articles sur la gestion,
la stratgie et le management des banques. Ses derniers travaux portent sur lintgration de la dmarche de contrle dans le dispositif organisationnel et les processus
des tablissements financiers. Il tudie galement la ncessaire volution du management de ces dispositifs. Il intervient actuellement auprs de plusieurs tablissements financiers sur lintgration du contrle des risques dans la dmarche
commerciale.
Groupe Eyrolles
Alessandro Reitelli est titulaire dun DEA en sciences conomiques de lUniversit de Rome. Il a t manager expriment chez feu Arthur Andersen, o il a pass
huit annes, dont les quatre dernires essentiellement consacres des missions de
fusions-acquisitions en France et ltranger, notamment en Italie, pour le compte
de grands groupes ou dinvestisseurs franais (Vivendi, Eiffage, Faurecia, LVMH,
Alstom, France Tlcom, Technip, Paribas Affaires Industrielles, Europ@web,
Galileo, etc.). Il a fond en 2000 une service line ddie lintermdiation dans le
secteur dInternet (prparation de business plan et recherche de fonds pour les startups ou due diligence dacquisition pour les investisseurs). Il a rejoint le groupe PPR
en fvrier 2002 pour crer la direction de laudit corporate la demande du prsident
du directoire. En 2006, Il a t nomm directeur gnral adjoint dune filiale du
groupe CFAO (filiale de PPR), dans le secteur des nouvelles technologies.
Docteur en sciences de gestion, Julie Tixier est Matre de Confrences en sciences
de gestion lIAE (Universit Franois-Rabelais) de Tours. Elle est titulaire dun
diplme de troisime cycle en audit interne et co-responsable du Master 2 Management de la qualit. Elle enseigne notamment laudit social et le management stratgique en contexte international au sein du Master Audit des entreprises
internationales. Ses recherches portent sur ltude des ples de comptitivit, des
relations filiales/maison mre au sein des firmes multinationales, des systmes
Groupe Eyrolles
Aprs vingt-sept ans de pratique de laudit en tant que directeur de laudit interne
dans deux trs grandes entreprises, Franois Vidaux est aujourdhui consultant
auprs dExos. De formation juridique, diplm de lInstitut de Prparation aux
Affaires (module informatique) et dexpertise comptable, il a galement pratiqu
laudit externe. Il est lauteur de plusieurs ouvrages dans divers domaines, parmi lesquels linformatique, les ressources humaines et la fraude. Il a galement dvelopp
ou particip au dveloppement de logiciels comptables et daudit.
Index
A
adaptabilit 134
AMF 54, 55, 95
AMRAE 55
analyse stratgique 290
audit
centralis 49
defficacit 276
de conformit 275
dcentralis 49
interne 305
oprationnel 269
social 269, 283, 285
stratgique 277, 289, 303
B
backdoor 261, 264
Ble 2 96
bilan social 271
blanchiment 239
bombe logique 263
Groupe Eyrolles
C
cadres financiers 90
captage de moniteur 259
CDR AMF 55, 56, 57, 58,
60, 61, 63, 66, 67, 68, 73,
74, 75, 76, 77, 79, 81, 82,
83, 86, 88, 89, 90, 91, 92,
111
chantage 239
cheval de Troie 263
CNIL 190, 193
COCO 12, 54, 55, 56, 57,
58, 59, 60, 62, 64, 65, 67,
70, 72, 73, 75, 77, 78, 80,
81, 84, 88, 90, 91
D
dbordement de tampon
262
dcouplage 260
DIC 249
due diligence 209
E
ECIIA 35, 51
environnement de contrle
63
ERC 249
thique 185, 186, 195
valuations liminaires 222
F
fichier core 259
firewall 264
flooding 261
FRAP 43
fraude
des employs 231
des filiales 221
des managers 229
dtection 253
gnrique 226
informatique 253
informatise 253
par carte bancaire 265
prvention 253
sur les systmes dinformation 243
fusions-acquisitions 197,
217
auditeur interne 207
opportunits 199
risques 203
vagues 199
hacker 259
hoax 264
huitime directive europenne 11, 154, 156
IAASB 170
IFA 55
IFAC 172, 176
IfAcI 20, 51, 55, 111, 149,
179, 186
IIA 20, 35, 46, 51, 55, 92,
99, 116, 149, 150, 151,
171, 172
indicateurs 298, 301
informatique 243
ingnierie sociale 265
normes
2 050 173, 177
internationales 287
ISA 610 170, 173, 176,
179
professionnelles 172
M
matrise des risques 106
management 89
des risques 26, 33
mcanismes de gouvernance 147, 148
O
ordre de mission 39
organisation 294
centralise 29
dcentralise 31
rapport
daudit 44
dorientation 42
Vinot 140
rattachement hirarchique
32, 47
reporting 26, 28, 57, 85,
105, 109, 110, 112, 115,
Compos par Compo Sud
Achev dimprimer : ????
N dditeur : ?????
N dimprimeur :
Dpt lgal : septembre 2007
Imprim en France
S
SEC 53, 103, 109, 182
service daudit interne 27
sniffing 260
spoofing 260, 263
stakeholders 142, 144, 163,
165, 169
W
whistleblowing 13, 185,
187
la franaise 189
Groupe Eyrolles